cloudflare tunnels 客户端被查杀

ghostByWolf

文件是从cloudflare官网使用教程中提供的github地址上下载的.
下载地址为:

1. https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-windows-amd64.msi

复制代码

蓝奏地址 https://wwyh.lanzouw.com/iEDFA2loyv9c
文件解压密码:infected
这个文件时cloudflare tunnels的客户端,之前用的好好的,突然提示删除文件,看了一下文件夹,貌似所有的文件都被删除了...

1. 事件: 进程已终止
   
2. 应用程序: cloudflared.exe
   
3. 用户: NT AUTHORITY\SYSTEM
   
4. 用户类型: 系统用户
   
5. 组件: 系统监控
   
6. 结果说明: 已终止
   
7. 类型: 木马
   
8. 名称: PDM:Trojan.Win32.Bazon.a
   
9. 威胁级别: 高
   
10. 对象类型: 进程
    
11. 对象路径: C:\Program Files (x86)\cloudflared
    
12. 对象名称: cloudflared.exe
    
13. MD5: 8ABF885EF9FE78A052F263038BB6C598

复制代码

用在线查杀工具扫了一下,好像报毒的不多.
virustotal的报告:

1. https://www.virustotal.com/gui/file/f1ea0be7b442593b62656a371110a218bf42e0fe63338bc558744c7d84ef7826
   

复制代码

微步的报告:

1. https://s.threatbook.com/report/file/f1ea0be7b442593b62656a371110a218bf42e0fe63338bc558744c7d84ef7826
   

复制代码

不知道有没有大佬帮忙看一下,顺便帮忙上报一下. 我在卡巴斯基的上报界面上传了好几次,都是上传失败..

wywt123

cloudflared啊，应该没问题
误报可以试试opentip上报，自动分析完成后，点击Submit to reanalyze，Comment注明false positive，一般不用等很久就有回复

这个我已经上报了，等回复看看

ghostByWolf

wywt123 发表于 2025-1-23 10:40
cloudflared啊，应该没问题误报可以试试opentip上报，自动分析完成后，点击Submit to reanalyze，Com ...

谢谢,我这边试着上传,但是总是上传失败..

kaba777

有数字签名吗，如果有cloudflare有效数字签名应该没问题。pdm大概是撞到卡巴斯基主防规则被误报了，楼上已经提交到opentip，直接等结果。

wywt123

kaba777 发表于 2025-1-23 14:14
有数字签名吗，如果有cloudflare有效数字签名应该没问题。pdm大概是撞到卡巴斯基主防规则被误报了，楼上已 ...

显然它没有数字签名。。这些都是自动构建好直接传到release的，提供sha256自己校验

楼主这个文件看了，确实是官方的文件。

https://github.com/cloudflare/cloudflared

go语言的项目

收到回复了

Hello,

Sorry, it was a false detection. It will be fixed.
Thank you for your help.

Best regards, Ilya, Malware Analyst, Kaspersky
39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com https://securelist.com
https://opentip.kaspersky.com/ - get insights about suspicious files, hashes, URLs, IP addresses or domain names

biue

腾讯电脑管家 不报

早上起来不刷牙

火绒病毒库时间：2025-01-28 14:53
开始时间：2025-01-29 13:08
总计用时：00:00:02
扫描对象：1
扫描文件：1
发现风险：1
已处理风险：1
病毒详情：
风险路径：C:\Users\*\Desktop\cloudflared.exe, 病毒名：ADV:Trojan/W64.CoinMiner!meteor, 病毒ID：ad7dcc3049f81930, 处理结果：已处理，删除文件

ghostByWolf

wywt123 发表于 2025-1-23 16:51
显然它没有数字签名。。这些都是自动构建好直接传到release的，提供sha256自己校验

楼主这个文 ...

ok  谢谢

ghostByWolf

早上起来不刷牙 发表于 2025-1-29 13:11
火绒病毒库时间：2025-01-28 14:53
开始时间：2025-01-29 13:08
总计用时：00:00:02

火绒这个应该也是误报....