Telegram 某汉化频道被投毒

今天(v2ex用户@qwqdanchun )无意间看到了一个 TG 的汉化频道，入眼就是一个 com 后缀的可执行文件，正好有时间就下载下来分析了一下

具体分析步骤就不赘述了，该文件为一个下载器，会释放 7zip 及压缩包至 C:\Users\Public\Downloads 目录，并在该位置通过快捷方式执行解压至文件夹 Tencente ，结果如图：

解压后得到一套经典的白加黑文件，利用的是 2003 年的一个 Outlook 的程序

除此之外，该样本使用了检测鼠标移动等方式绕过沙箱分析，通过近期国内黑产常用的断网方法绕过 360 等杀软对启动项的拦截

该频道有近 80 万关注者，且内容及其具有迷惑性，距离文件发出已经过去了一个半月，想来中招的人不在少数，希望大家注意不要轻易下载未知软件，保证自身安全

写在最后

A姐需要提醒的是，大部分用户在下载文件的时候都缺乏安全意识，例如Telegram这个汉化包明显后缀带有.com或者 .exe（windows可执行文件）、.bat(命令脚本)，看到这些都要小心了，如果你想下载telegram的汉化包，可以参考我以前发过了电报 Telegram 中文语言包下载（telegram中文设置），如果安全意识不高还是小心为妙，其他地方的暂时还是不要乱动。

本文链接：https://www.ahhhhfs.com/19124/