样本53

显示全部楼层 · 发表于 2018-12-29 17:05:02

https://share.weiyun.com/5WNHSWy

谁可以告诉我论坛的附件问题解决了吗?

显示全部楼层 · 发表于 2018-12-29 17:11:15

本帖最后由小Q机器人于 2018-12-29 17:13 编辑

下载完成360扫描安全，卡巴右键扫描安全，解压出来卡巴和360再次扫描为安全。

显示全部楼层 · 发表于 2018-12-29 17:11:57

GDATA MISS

解决了

显示全部楼层 · 发表于 2018-12-29 17:16:00

双击JS文件报错 avast Dr.web miss

显示全部楼层 · 发表于 2018-12-29 17:53:08

360TSE miss

显示全部楼层 · 发表于 2018-12-29 18:16:42

该扩展疑似抄袭自某个在github上开源的扩展，并且在backgournd.js中追加经过webpack编译的1w多行恶意代码。(解压reopen_closed_tabs-2.1.0-an+fx.xpi后可见)
其中有效部分为一小段经过混淆的代码，该代码会在用户页面上加载特定js：http://www.object.center/tabs/index.js
改js的当前版本已保存为index.js并提交，js内容经过混淆，解析并格式化后保存为index_parsed.js一并提交。
上述js会解析用户当前访问网站的域名，通过get请求进行上报。
同时当域名符合在指定列表中时，会尝试加载一个隐藏iframe，该列表共209条，大多为境外购物网站。目前经过尝试，加载iframe时总是没有任何响应，怀疑是攻击代码未完成，或者目的仅为数据收集。
iframe地址中参数会动态生成，结果如:[http://shor.link/?re=aHR0cHM6Ly9 ... Q04=&i=dGFicw==]。

显示全部楼层 · 发表于 2018-12-29 18:54:31

https://addons.mozilla.org/zh-CN/firefox/addon/reopen-closed-tab/
这个是此风险扩展的地址，在火狐扩展中心里面，大家看看

显示全部楼层 · 发表于 2018-12-29 21:12:16

火绒、智量均不报。

显示全部楼层 · 发表于 2018-12-30 13:00:09

bd miss

显示全部楼层 · 发表于 2019-1-15 00:26:19

哈喽楼主你好, 打扰了,样本53失效了可以再给我一份吗,我用那个扩展有段时间了,现在火狐官方下架了,想拿来看看,感谢.

[可疑文件] 样本53

本帖子中包含更多资源

评分