Posts

Showing posts from December, 2017

X-Sec Antivirus开发者日志 - 终于等到这一天

终于,X-Sec Antivirus发布了2.0.0.0测试版。
我和队友在deadline的前3个礼拜,效率一下子冲了上来(其实主要是之前实在是太忙)
由于这是新界面的第一个测试版,所以并不打算将其作为公测,而是需要向我申请内测资格。
详情可以去看我在卡饭论坛的帖子:https://bbs.kafan.cn/thread-2096543-1-1.html
实在是有太多话想说,却不知从何说起。
如果已经获得了内测版的人应该会发现,我之前放出来的有一个截图和实际你看到的出现了差异,那是因为一开始我们打算和以前的界面版一样一次只允许一个扫描,后来,尝试着做了个多任务,发现效果真的挺不错,于是就选择了允许多任务(当然,任务上限与CPU线程数有关)
至于为什么今天发布测试版,其实只是因为我和部分私信我的用户立了flag(今年结束之前发版)

[EXPIRED] WonderFox 2018 New Year Giveaway

Expiration date: Jan 5th, 2018

Info: Lots of free licenses with vary types of software

My Recommendation: Process Lasso Pro, WPS 2016 Business Edition, Netspot PRO

URL: http://www.videoconverterfactory.com/christmas/

当宽带运营商恶心人的时候...

Image
其实写这篇博文也属一时兴起,导火索其实是今天晚上我租住的地方使用的方正宽带炸了,一晚上连不上网,包括我现在写这篇博文也是用手机开热点给笔记本上网,然后才能来写。
直接按我使用的宽带的先后顺序一个个来说吧

中信
联通下属二级运营商,很多流氓行为都是二级运营商先开发出来的。暂且不讨论局域网热门资源缓存这个有利有弊的东西,说说它其他恶心到我的地方。
一个是很多二级运营商都会干的事儿——页面强X广告,中信的话是页面强X广告脚本 至于另一个,可能就真的有些恶心了。直接上图。 当然,这发生在百度启用HSTS之前。现在百度启用了HSTS,这种手段自然失效了。 其实我看不惯这破宽带很久了(买的4M宽带,后来得知是8M分给3家用),证据收集的差不多了,早就想投诉了。只不过当我差不多下定决心的时候,我爸妈终于决定更换我家的宽带,此事便也作罢。 电信 其实我对电信的印象还是挺不错的。只不过它的校园宽带——闪讯,着实是恶心了我一把(只不过校园宽带的价格的确实惠,而且带宽也是实打实的,说20M就是20M,就是可以跑满极限2.5M/s的下载速度)。 暂且不提闪讯客户端对于WiFi共享软件的各种限制(于是各种闪讯拨号器,乃至于带心跳包的,都陆续上线了。当然,还有各种定制版OpenWRT的路由器固件)以及它本身那恶心的内存占用问题(老版本,开8个小时,占用内存便可上1G。惊不惊喜,意不意外?新版本好多了),我们来提提别的东西。 闪讯在我在校期间第一次耍流氓是在大三快放寒假的时候,某次联网之后你会发现闪讯目录下多了一堆东西,同时每次连上网之后都会有程序在屏幕右下角提示浏览器主页已被锁定为360网址导航... 上面的截图是闪讯下载来的组件(当然那张图片不算) 恶意程序采用了应用层的进程监视和注入,并且32位和64位分开处理。 这种事情对于我来说显然不能忍,于是我一怒之下选择直接去工信部投诉。电信认怂的速度也很快,立马派人来我那边看具体的情况,后面我还接到了电信相关工作人员的电话。只不过电话那头的人似乎态度不咋地,然后我选择直接把他们的凛时工(不要问我为什么写错字,已经习惯这样子写了)写出来恶意程序的大致工作流程在电话里说了一遍,接着对方陷入了沉默。 之后,恶意程序被撤了下来,某次联网后主程序被替换成了空文件。 只不过事情并没有结束。 闪讯第二次耍流氓是在大三寒假刚结束后不久,这TM才过去几个月,电信的凛…

X-Sec Antivirus开发者日志 - 放几张新界面截图

Image
这段时间其实工作还是挺忙的,再加上自己和队友都有比较严重的拖更问题(其实他那边也有不少事情),所以新界面的进度一直都很慢,也很少有机会发点狠推进一波。
只不过上个礼拜我和他还是抓住了机会推进了一波,不然你们也不会看到卡饭论坛那边的更新帖上的开发进度跳了一下。
下面放两张主界面的截图出来:



Product License?没错,将来会有收费功能你可以看到防护和工具箱的按钮被禁用了(将来这两个坑肯定要填上的)实际真正的扫描窗口与主界面是分离的多语言肯定会有的设置里面我又给自己挖了一些坑,将来也要填上

CoinMiner Downloader

Image
[Imported From X-Sec Blog, just for backup]

Recently, X-Sec Labs caught a downloader which can download CoinMiner from a Http File Server(HFS).

First, let's load it into Exeinfo PE.


It's clear that the file is written in .NET, so we can load it into decompiler.


Oh, the author did something to let the decompiler can't decompile the core function!

But we can open it with NotePad ;-)




From these three images, we can guess the core function will download a file from specific URL, then run it with extra arguments. The extra arguments are usually used by CoinMiner to set specific mining pool & related account.

Now, we can manually download related file.


It's a Rar Sfx Archive, we can view it through WinRAR.


From the image we can see this Sfx Archive will drop files inside into Windows directory silently, files inside are commonly used CoinMiner.

Related MD5:

2D28095E46B0241CE097E0860CED3593

F7E71A28F275A8C8B183181A647C2663

X-Sec Antivirus Detection:

Cloud Engine: Cloud:Tr…

PC Optimizer

Image
http://xywcloud.blogspot.com/2017/09/pc-tuneup-systweak.html
Just another varient.
The same signer, the same phone number, a little different UI.
Related MD5: 78606CD44EC608B13471D7B133A6F438 X-Sec Antivirus Detection:
Cloud Engine: Cloud:PUA.Win32.SysTweak
Local Engine: PUA.Win32.SysTweak!BS
Required Virus Definition Version: 2017.09.13.01