这几天,电报爆出了中文汉化投毒的问题,涉及面达到百万之众,被连累的电脑会被当做肉鸡,被黑客远程操控,影响面极其大。
而且在超级索引大概搜了一下中文,中文包等关键词,索引排行十个有八个在其中,这个目前看是很严重的发酵事件。
病毒操作行为
进程行为
行为描述: 创建本地线程
详情信息:
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2468, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2600, StartAddress = 77C0A341, Parameter = 003F72A0
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2604, StartAddress = 77C0A341, Parameter = 003F72A0
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2624, StartAddress = 77C0A341, Parameter = 003F7330
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2848, StartAddress = 77C0A341, Parameter = 003F73C0
行为描述: 枚举进程
详情信息:
N/A
文件行为
行为描述: 重命名文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe —> C:\Program Files\Common Files\3B0BDBEB.exe
网络行为
行为描述: 打开指定 IE 网页
详情信息:
tg://setlanguage?lang=classic-zh-cn
行为描述: 建立到一个指定的套接字连接
详情信息:
URL: da****om, IP: **.216.117.**:8000, SOCKET = 0x00000114
行为描述: 按名称获取主机地址
详情信息:
gethostbyname: da****om
注册表行为
行为描述: 修改注册表
详情信息:
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Software\Wxyabc Efghijkl Nop\MarkTime
\REGISTRY\USER\S-*\Software\Microsoft\ActiveMovie\devenum\Version
复制代码
官方安全认证汉化合集
大家需要使用汉化的需求,强烈推荐使用官方认证或者正规途径来源,安全的汉化包,站长也准备一堆官方认证包提供下载,防止大家的电脑变成肉鸡。
👍
谢谢分享