全球主机交流论坛

标题: 关于 VIRMACH 抢购脚本病毒？说明 [打印本页]

作者: dxt 时间: 2020-12-1 12:44
标题: 关于 VIRMACH 抢购脚本病毒？说明
本帖最后由 dxt 于 2020-12-1 13:55 编辑

都说我代码有病毒，下载什么的玩意，什么跟什么啊
第一次做affman不知道水这么深，不知道是不是同行

代码我开源，可行吧
加密用的jsjiami.com.v6 在线加密，原版下病毒的，你们留着，看看是我问题，还是什么问题，OK?

有能力的大佬分析一下吧，我是找不到来为什么说我下病毒

再说了，我加个挖矿、木马不好，为什么我要加个这个“HVM:VirTool/Obfuscator.gen”病毒，我图什么？

找骂么？

当前长度: 51022 字节系统限制: 2 到 10000 字节
代码贴不上，外链吧

加密的母版文件
http://virmach.me/jiaoben/111.js

开源的代码

http://virmach.me/jiaoben/h5.js

作者: iKuma 时间: 2020-12-1 12:47
前排围观

作者: xiaokang 时间: 2020-12-1 12:47
提示: 作者被禁止或删除内容自动屏蔽

作者: h3cie 时间: 2020-12-1 12:47
139.exe，怎么回事，这个没有解释到啊

作者: jzl 时间: 2020-12-1 12:47
前排吃瓜

作者: bjhuae 时间: 2020-12-1 12:48
这个自带翻页真骚啊！

作者: 可乐呀 时间: 2020-12-1 12:48
源码没看，不过确实可能是被中间人投了毒了

作者: 藏镜人 时间: 2020-12-1 12:48
提示: 作者被禁止或删除内容自动屏蔽

作者: dxt 时间: 2020-12-1 12:48

h3cie 发表于 2020-12-1 12:47
139.exe，怎么回事，这个没有解释到啊

我TM都没复现，更没有什么139，你们电脑都有缓存，那个加密的h5.js，你们大佬解密看看是不是我弄得，别什么屎盆子都扣我头上？

作者: YourLi 时间: 2020-12-1 12:50
应该看看那个加密网址, 可能在加密过程中添加了额外代码

作者: Fei 时间: 2020-12-1 12:50
提示: 作者被禁止或删除内容自动屏蔽

作者: 1915591935 时间: 2020-12-1 12:50
吃瓜吃瓜

作者: h3cie 时间: 2020-12-1 12:50

dxt 发表于 2020-12-1 12:48
我TM都没复现，更没有什么139，你们电脑都有缓存，那个加密的h5.js，你们大佬解密看看是不是我弄得，别什 ...

注意你的态度，我也为了你好，只是让你说明一下，让其他人明白，你急什么？

作者: 叫我ams就好了 时间: 2020-12-1 12:51
坐等大佬出现，分析一波

作者: 可乐呀 时间: 2020-12-1 12:51

YourLi 发表于 2020-12-1 12:50
应该看看那个加密网址, 可能在加密过程中添加了额外代码

我觉得很有可能

作者: hikanba 时间: 2020-12-1 12:52

不明真相，吃瓜不战队

作者: h20 时间: 2020-12-1 12:53
提示: 作者被禁止或删除内容自动屏蔽

作者: wenlong 时间: 2020-12-1 12:53
前排围观

作者: ro8ot 时间: 2020-12-1 12:54
一开始就开源什么都好说，
但代码加密+碰上病毒文件，这简直了，难保别人不多想

作者: realsteam 时间: 2020-12-1 12:56
不开源，且遇到莫名exe，这个就不好说了

作者: dxt 时间: 2020-12-1 12:58

h3cie 发表于 2020-12-1 12:50
注意你的态度，我也为了你好，只是让你说明一下，让其他人明白，你急什么？ ...

大佬，我能不急么？一登录账号，一堆人艾特我，吓也得吓死

作者: dxt 时间: 2020-12-1 13:00

Fei 发表于 2020-12-1 12:50
好端端的为啥要加密呀，靠本事aff本身并不可耻。光明正大的aff就好。

本想一头独大，奈何世态炎凉啊，哎。

作者: kunkka 时间: 2020-12-1 13:01
这种事，以后还是开源吧。
一般情况下，我不介意aff，反正无aff我也不能省1毛钱

作者: pone1 时间: 2020-12-1 13:07
哪位大佬出来分析分析

作者: 三和大神 时间: 2020-12-1 13:11
是不是你的JS加密程序有问题？像当初XcodeGhost一样，可发出来让MJJ们瞧瞧。

作者: dxt 时间: 2020-12-1 13:12

三和大神发表于 2020-12-1 13:11
是不是你的JS加密程序有问题？像当初XcodeGhost一样，可发出来让MJJ们瞧瞧。

没啊就是在线的加密啊，https://www.jsjiami.com/

作者: [MJJ] 时间: 2020-12-1 13:14
支持楼主我相信他

作者: 兔斯基 时间: 2020-12-1 13:15
提示: 作者被禁止或删除内容自动屏蔽

作者: dxt 时间: 2020-12-1 13:17

兔斯基发表于 2020-12-1 13:15
jsjiami.com.v6这个加密在他们圈子里很常用，如果会在过程中添加代码估计早就gg了。我觉得可以向自动更新 ...

是啊一直，在用这个，没啥问题啊，我这开着火绒剑、流量监控、文件监控，都没看到那个139.exe

作者: 兔斯基 时间: 2020-12-1 13:20
提示: 作者被禁止或删除内容自动屏蔽

作者: dxt 时间: 2020-12-1 13:23

兔斯基发表于 2020-12-1 13:20
你代码有没有自动更新类服务，如果有的话可以在那方面检查看看是不是更新过程中添加了代码。如果没有那你 ...

额。。我都解释了，没办法啊，我都说了，谁加病毒死全家的

作者: 那山很优雅 时间: 2020-12-1 13:33
提供技术、提供信息的affman正大光明好了，我完全不介意走aff

作者: dxt 时间: 2020-12-1 13:40

那山很优雅发表于 2020-12-1 13:33
提供技术、提供信息的affman正大光明好了，我完全不介意走aff

好，那以后就正大光明

作者: 忘江湖 时间: 2020-12-1 13:49
本帖最后由忘江湖于 2020-12-1 13:51 编辑

dxt 发表于 2020-12-1 13:17
是啊一直，在用这个，没啥问题啊，我这开着火绒剑、流量监控、文件监控，都没看到那个139.exe ...

发帖子跟最开始发帖怼你的人对峙。
让他把整个复现139.exe的过程全部发帖出来，个人怀疑是他自己电脑中毒了，感染了一个139.exe，然后刚好用了你的脚本，给撞上了，所以你就戴上帽子了。
让他准备个干净的虚拟机，把目录监视，注册表监视，等全部打开，由于你脚本写出的139.exe，各种证据全部把流程和截图写清楚，否则就是泼脏水，很多半潭水的mjj最擅长干这事

@龟龟酱 @暗中观察

作者: 兔斯基 时间: 2020-12-1 13:51
提示: 作者被禁止或删除内容自动屏蔽

作者: 星光 时间: 2020-12-1 13:51
本帖最后由星光于 2020-12-1 13:52 编辑

脚本发出来我就用反解解了真实代码了
（怎么解的直接google)
在之前的版本解出来的代码里（20201125之前）没看到139.exe
不排除后来加上了或者被挂马哈
火绒也没报
当然我对这种闭源行为表示反对

作者: tonyma 时间: 2020-12-1 13:54
大可不必遮掩，mjj精明得很，聪明人也多，aff这东西本来就没什么好遮掩的，只不过论坛的一些人无脑推得多了，开始让人反感。能双向获益的技术类的东西只要不坑人可以自信点、透明点。论坛讲理的人也是多的，用别人的东西毕竟也不能一直白piao的心态，双方都尊重劳动成果才是良好的循环，一直想着白piao的人都是心态不端正的。

作者: 忘江湖 时间: 2020-12-1 13:59

兔斯基发表于 2020-12-1 13:51
虚拟机不得行，而且不是一个人出问题啊。龟龟又不是aff man，涉及不到同行互黑 ...

我解过和跑过他的代码，并没有139.exe
所以作为一名技术爱好者，我很感兴趣某mjj说的这个139.exe是具体怎么出现的，所以根据我个人分析的结果，我怀疑是那名mjj自己电脑中毒了，当然只是怀疑，因为我也很想知道他139.exe具体的生成过程和证据
其次就一个mjj发帖说出现了139.exe，发帖了几个检测地址，但是并没有提供任何证据可以证明他上传的139.exe就是目标脚本生成的，仅仅是他一个人在这么说，然后很多不明情况的mjj就起哄了，跟着复制发帖说实锤神马的，注意：直到现在，依然没有任何人发帖，发图片，发复现流程证明139.exe就是作者脚本生成的。
所以真想是什么，目前我也很感兴趣

作者: Wine 时间: 2020-12-1 14:03
这个估计得找隔壁论坛分析了。

作者: tonyma 时间: 2020-12-1 14:05

忘江湖发表于 2020-12-1 13:59
我解过和跑过他的代码，并没有139.exe
所以作为一名技术爱好者，我很感兴趣某mjj说的这个139.exe是具体怎 ...

支持还原软件过程，没证据前提下瞎起哄简直无脑透了，对作者本身和技术分享环境都是一种侮辱。

作者: 大侠饶命 时间: 2020-12-1 14:06

忘江湖发表于 2020-12-1 13:59
我解过和跑过他的代码，并没有139.exe
所以作为一名技术爱好者，我很感兴趣某mjj说的这个139.exe是具体怎 ...

感觉有懂的人在真的好啊，至少事情走向不会变得很奇怪

作者: b66667777 时间: 2020-12-1 14:09
再次围观

作者: nichijou 时间: 2020-12-1 14:21

忘江湖发表于 2020-12-1 13:49
发帖子跟最开始发帖怼你的人对峙。
让他把整个复现139.exe的过程全部发帖出来，个人怀疑是他自己电脑中毒 ...

这俩人原文没写是怎么获得的应该只是从发现第一人那链接下载的看了下最先是这个帖子报毒 https://www.loc.imgfree.eu.org/forum.php?mod=viewthread&tid=775090
@ming997hk

作者: 忘江湖 时间: 2020-12-1 14:24

nichijou 发表于 2020-12-1 14:21
这俩人原文没写是怎么获得的应该只是从发现第一人那链接下载的看了下最先是这个帖子报毒 https://www.h ...

是的，估计直接从在线扫毒网站下载的，而第一个人，却没有提供任何证据这个exe就是从脚本生成的，所以我个人才怀疑是那名mjj自己电脑中毒了，刚好撞上使用脚本，那帽子就必须得戴上。。。（仅仅个人猜测，因为我也很想知道真相）

作者: douglasleft 时间: 2020-12-1 14:33

忘江湖发表于 2020-12-1 14:24
是的，估计直接从在线扫毒网站下载的，而第一个人，却没有提供任何证据这个exe就是从脚本生成的，所以我 ...

看这帖中，这两台服务器都开了敏感端口，如果哪位高人能进去看一眼，不就一目了然了？

https://www.loc.imgfree.eu.org/thread-775283-1-1.html

作者: 忘江湖 时间: 2020-12-1 14:40

douglasleft 发表于 2020-12-1 14:33
看这帖中，这两台服务器都开了敏感端口，如果哪位高人能进去看一眼，不就一目了然了？
https://www.h ...

这些都本末倒置了，139.exe是病毒无疑，光看这文件名就是病毒，这些帖子里面都是在分析139.exe怎么怎么毒，连接了什么服务器，怎么入侵对应服务器，等等这些我表示不感兴趣。
相反我感兴趣的是能证明原始作者脚本运行后，生成出139.exe的这个过程证据，这才是关键。如果没有这个证据，那很有可能这139.exe就是第一个发布帖子的mjj随便在自己电脑里面拷贝的一个病毒，那就算它再毒，又有啥意义呢。

作者: 龟龟酱 时间: 2020-12-1 14:53

忘江湖发表于 2020-12-1 13:49
发帖子跟最开始发帖怼你的人对峙。
让他把整个复现139.exe的过程全部发帖出来，个人怀疑是他自己电脑中毒 ...

有这个可能,我刚找了火绒让他们看
顺便我的分析帖子只分析139.exe 没有分析(也不会分析)脚本

作者: WooSi 时间: 2020-12-1 16:57
提示: 作者被禁止或删除内容自动屏蔽

作者: shuwo 时间: 2020-12-1 17:08
11：05的时候就测试了并没有相应的代码

作者: 千牛 时间: 2020-12-1 22:10
我是前端web开发的，我也玩GM脚本，我懂这方面的技术
哪怕你脚本里面就是真的嵌了exe，那又能干啥，前端的js哪里有那么大的权限，即使是GM封装一遍也没有那么大的权限的，他们这个明显就是泼脏水罢了，为了到时候更换一波地址，换上自己的aff

欢迎光临全球主机交流论坛 (https://loc.imgfree.eu.org/)