可疑网址

比卡诺微

hxxp://lovefi.top/?s1=octc2&s2=3ACbpDvkANx6426e8CxZnM&email=campaigns%40hrtrainup.com

hxxps://seclokantasi.com/r/?c3Y9bzM2NV8xX29uZSZtPVE5JnVpZD1VU0VSMDUwNjIwMjVVMDUwNjA1MDgmdD1QOA=%3DN0123N

微微的笑

可爱的鲨鱼鳍

Curve25519

ESET Smart Security Premium，访问第二个链接报毒

2025/12/10 15:21:32;JavaScript 扫描程序;文件;hxxps://seclokantasi[.]com/r/?aXBkYXRhPTE0LjE1NC41NC4xOTMmdmJveD0mc3Y9bzM2NV8xX29uZSZtPVE5JnVpZD1VU0VSMDUwNjIwMjVVMDUwNjA1MDgmdD1QOA==;HTML/Phishing.Agent.FDP 特洛伊木马;已阻止;NT AUTHORITY\ANONYMOUS LOGON;尝试通过应用程序访问 Web 时发生事件: C:\Users\Admin\AppData\Local\Mozilla Firefox\firefox.exe (916BC948A465EF59411FE0A9F666E1AED30235EB).;2D3431679359FC3D9EFE0068C1C59115EC26FFC8;;S-1-5-7;

皓hali

Avast插件拦截全部

俩都一样

Avast Premium Security同上

xie2008

## 核心结论  域名 [lovefi.top](data-ai-link2-1) 被明确判定为高风险，其与DatingScam恶意软件家族存在直接关联。通过对其历史解析IP、关联样本和相关情报的分析，发现该域名及其相关基础设施被用于恶意活动，包括垃圾邮件传播和潜在的恶意软件分发。尽管未能直接关联到具体的黑客组织，但其行为模式和关联情报表明，该域名可能是恶意活动的一部分，建议立即采取封禁措施并加强监控。  ---  ## 关键发现  - **域名与恶意软件关联：** 域名 [lovefi.top](data-ai-link2-1) 与DatingScam恶意软件家族直接相关，其关联样本被标记为可疑软件（Susware），并被检测为`HTML:DatingScam-D`。 - **恶意历史解析IP：** 域名的多个历史解析IP被标记为恶意，部分IP与垃圾邮件传播和恶意域名关联活动相关。 - **恶意C段活动：** 域名的历史解析IP所在的C段中存在大量恶意IP，表明其可能是恶意活动的集散地。 - **隐私保护注册信息：** 域名注册信息被隐私保护，且注册时间较短，进一步增加了其可疑性。 - **开放端口与垃圾邮件传播：** 历史解析IP开放了多个SMTP相关端口（如25、587），表明其可能被用于垃圾邮件传播。 - **关联域名与证据链：** 历史解析IP与多个恶意域名关联，进一步支持其参与恶意活动的可能性。  ---  ## 详细分析  ### 1. 域名基本信息与注册情况 - **域名：** [lovefi.top](data-ai-link2-1) - **注册商：** Hosting Concepts B.V. d/b/a Registrar.eu - **注册时间：** 2024年6月21日，有效期至2025年6月21日。 - **隐私保护：** 域名注册信息被隐私保护，无法获取注册人、邮箱或公司信息。 - **分析解读：** 域名注册信息的隐私保护和较短的注册时间（558天前）是常见的恶意域名特征，表明其可能被用于短期的恶意活动。  ---  ### 2. 恶意软件关联 - **关联样本：**   - **SHA256:** `ea5d1b396d4560c7286fba27ca4c8b4cf3ecdc77d5ef7584e6311431ae801549`   - **文件类型：** HTML   - **威胁评分：** 35（中等威胁）   - **恶意软件家族：** DatingScam   - **恶意软件类型：** Susware（可疑软件）   - **多引擎检测：** 1/28（Avast引擎标记为`HTML:DatingScam-D`）   - **行为特征：**     - 解析了可疑顶级域名。     - 发起了HTTP和HTTPS请求。     - 文件中包含潜在的IP地址或URL。 - **分析解读：** 该样本的行为特征表明其可能被用于恶意活动，例如通过HTTP/HTTPS请求与外部服务器通信。Avast引擎的检测结果进一步支持其与DatingScam恶意软件家族的关联。  ---  ### 3. 历史解析IP分析 #### 3.1 IP地址：[31.57.54.103](data-ai-link2-2) - **判定：** 恶意 - **运营商：** WIIT AG - **地理位置：** 德国，北莱茵－威斯特法伦州，杜塞尔多夫 - **威胁情报：**   - **活跃情报类型：** 标记为“傀儡机”和“垃圾邮件”来源。   - **恶意C段：** 该IP所在的C段中存在31个恶意IP。   - **关联域名：** 包括 [lovefi.top](data-ai-link2-1) 和其他恶意域名（如[desu.bleakishflight.info](data-ai-link2-2)）。 - **开放端口：**   - 22 (SSH, OpenSSH)   - 2525 (SMTP, PowerMTA smtpd)   - 25 (SMTP, cbdev cmail smtpd)   - 587 (SMTP, cbdev cmail smtpd)   - 2000 (MikroTik bandwidth-test server)   - 4567 (HTTP)   - 53 (DNS) - **分析解读：** 该IP的恶意判定、开放的SMTP端口以及与多个恶意域名的关联表明其可能被用于垃圾邮件传播和其他恶意活动。  #### 3.2 IP地址：[45.142.194.154](data-ai-link2-2) - **判定：** 恶意 - **运营商：** Majestic Hosting Solutions, LLC - **地理位置：** 美国，加利福尼亚州，圣克拉拉 - **威胁情报：**   - **活跃情报类型：** 标记为“垃圾邮件”来源。   - **恶意C段：** 该IP所在的C段中存在255个恶意IP。   - **关联域名：** 包括 [lovefi.top](data-ai-link2-1) 和其他恶意域名（如[mail3.redafy.nl](data-ai-link2-1)）。 - **开放端口：**   - 22 (SSH, OpenSSH)   - 25 (SMTP, Postfix smtpd)   - 80 (HTTP, Apache httpd)   - 443 (HTTPS, Apache httpd)   - 587 (SMTP, cbdev cmail smtpd)   - 8181 (HTTPS, Port25 PowerMTA mail gateway) - **证书信息：**   - 证书1：用户名称[nextowave.online](data-ai-link2-1)，有效期至2052年。   - 证书2：用户名称[server.redafy.nl](data-ai-link2-1)，有效期至2026年。   - 证书3：用户名称[imap.example.com](data-ai-link2-1)，有效期至2026年。 - **分析解读：** 该IP与多个恶意域名和证书关联，且开放的SMTP端口表明其可能被用于垃圾邮件传播。其C段中存在大量恶意IP，进一步支持其作为恶意活动集散地的可能性。  ---  ### 3. 网络搜索与黑客组织关联 - **网络搜索：** 未发现与 [lovefi.top](data-ai-link2-1) 或 [31.57.54.103](data-ai-link2-2) 相关的公开报道。 - **黑客组织关联：** 未能找到与DatingScam恶意软件家族或 [lovefi.top](data-ai-link2-1) 直接关联的黑客组织。  ---  ## 总结与建议  ### 总结 域名 [lovefi.top](data-ai-link2-1) 被明确判定为高风险，其与DatingScam恶意软件家族直接相关联。通过对其历史解析IP、关联样本和相关情报的分析，发现其可能被用于垃圾邮件传播和恶意软件分发。尽管未能直接关联到具体的黑客组织，但其行为模式和关联情报表明，该域名可能是恶意活动的一部分。  ### 建议 1. **封禁域名和关联IP：** 建议立即封禁 [lovefi.top](data-ai-link2-1) 及其历史解析IP（如[31.57.54.103](data-ai-link2-2)和[45.142.194.154](data-ai-link2-2)），以防止进一步的恶意活动。 2. **加强监控：** 对DatingScam恶意软件家族相关的域名和IP进行持续监控，及时发现并阻断新的威胁。 3. **邮件安全防护：** 针对垃圾邮件传播的风险，建议加强邮件网关的安全策略，过滤可疑的SMTP流量。 4. **威胁情报共享：** 将本次分析结果共享至相关威胁情报平台，协助其他组织防范类似威胁。  通过以上措施，可以有效降低 [lovefi.top](data-ai-link2-1) 及其关联活动对网络安全的威胁。