某棋软代{过}{滤}理淘宝店铺所卖商品竟有删除文件暗桩，随时可设置删除用户硬盘文件

火绒爃

软件带格盘暗桩的见过不少，敢放到淘宝上卖的还是第一次见，在有受害者退款被删除全部文件并声讨后，经可靠分析并进行复现，某棋软代{过}{滤}理（在淘宝及qq群售卖大量象棋，围棋，五子棋软件及辅助）其曾经售卖过的象棋揭棋玩法辅助软件具有远程删文件功能，被揭露后作者被迫承认自己的行为，但拒绝在自己的几个qq群（其中包含一个2000人大群）中公开道歉，故揭露其行为并放出可稳定复现删文件行为的卡密，并附带原始样本，被揭露后，其已在淘宝下架相关商品，关闭了两个qq大群，但仍在淘宝倒卖免费软件，出售自制工具，在qq3群拉人，其它工具很可能具有恶意代码，此样本作者qq893970073，B站：https://space.bilibili.com/1214295778，淘宝店铺https://m.tb.cn/h.5XDPO4H，qq群一群 835833768，二群 910325837，三群 257077055 此人已在各大象棋，五子棋，围棋群中被发公告曝光，可复现样本中的复现卡密（存于同目录文件中）为分析者给出，由分析者远程设置为执行恶意操作，作者可通过同样的手段进行设置使其执行，附上可复现样本，相关证据，分析及曝光通告，欢迎大家分析样本，并提醒大家时刻注意计算机安全，加强防护，陌生文件谨慎运行。复现样本下载https://wwyo.lanzouk.com/iLBzH15ei0ba
分析恶意代码结果成功复现
围棋群公告曝光受害者在群中声讨。最新消息：目前其改名了QQ，b站和淘宝店，解散了部分群聊，但仍未下架淘宝商品和b站视频，且目前未就格盘之事公开道歉，他的另外一个未解散qq群1109447336           另：解散群聊一个月内可以恢复，从他坚决不道歉可以看出，应该只是想避避风头，其客户群也未解散，只是关闭了搜索功能

GDHJDSYDH

KFA 21.3 scan miss

117054487

卡巴-PDM杀，但是已经运行了几秒，部分软件已经寄了 恢复不完全
BEST-ATC杀，未发现文件或软件异常
娱乐测试：但如果在清除完毕后在运行一个，系统会直接寄掉
补充：同样方式卡巴也会被删很多东西，系统勉强还能运行

xjwtzq

买家应该都直接投诉举报报警

祸兮福所倚

anthonyqian

Avira


TR/Crypt.CFI.Gen

已上报eset。

Thank you for your submission.
The detection for this threat will be included in the next update of detection engine, expected version: 27748.
_____V2.7.exe - Win32/Agent.AFSU trojan

anxiety520

117054487 发表于 2023-8-15 05:47
卡巴-PDM杀，但是已经运行了几秒，部分软件已经寄了 恢复不完全
BEST-ATC杀，未发现文件或软件异常
娱乐 ...

好吧

KIS已上报

zfc234

Comodo
2023-08-15 00:55:40          C:\Users\Noah\Desktop\【病毒】棋软大王格盘样本，密码infected\手动档揭棋V2.7.exe          Worm.Win32.Dropper.RA@105409960          Quarantine          Success  

心醉咖啡

腾讯电脑管家

117054487

anxiety520 发表于 2023-8-15 07:56
我这边个人版SW试了10多次，除了一些快捷方式其他都成功回滚了，系统无大碍
可能是我虚拟机软件太 ...

这个我也不清楚，win11系统，主要就装了bandzip，tg在c，qq在d，第一次运行后qq和bandzip就挂了
同镜像个人版