前些天帮朋友发了一个招聘信息,论坛的朋友加了我,给我发了一份简历,我一看是一个 powershell 的脚本,还一个劲和我说可以打开,我从没见过这样形式的简历,留了 1 个心眼,用虚拟机看了下,应该是木马或者挖矿文件,请会反编译的朋友看看具体是啥,下载后请不要直接双击打开文件
大家都小心一点,我不知道是哪个论坛 ID
https://drive.google.com/drive/folders/1_HEBU7fMMRNy7qOIIZR3S4myWoK12uQz?usp=sharing
 |
1
wujiyongheng OP google drive 咋不能上传压缩包
|
|
2
wujiyongheng OP 用加密可以上传,解压密码 111111
|
 |
3
pingdog 1 天前 via Android
定向投毒,偷钱包的,脉脉上几过几次
|
|
4
pingdog 1 天前 via Android
现在要不让对方整到 Google docs/ms 365
要不发 pdf 自己在传上 google docs ,不在本地打开 |
 |
5
Keystroke 1 天前 via iPhone
可能他心想:这都敢点开的公司我不去
|
 |
6
v1 1 天前
脚本下载两个文件
一个是一位 web3 倒霉蛋的 pdf 简历(来自拉勾网) https://pan.tenire.com/down.php/c5932995bbb5708687fb1014ee01d6b9.pdf 一个是 pkg.zip ,解压同时执行 vbs http://pan.tenire.com/down.php/83b341a1caab40ad1e7adb9fb4a8b911.zip 其中 pkg.zip 内文件: CreateHiddenTask.vbs api-ms-win-crt-heap-l1-1-0.dll api-ms-win-crt-runtime-l1-1-0.dll jli.dll keytool.exe msvcr100.dll vcruntime140.dll |
|
8
v1 1 天前
随便看了眼 jli.dll ,导出几个口子,还全部是 JLI_开头。不过,最逆天的是还自带 vc 运行库的,而且一点也不尊重用 mac 办公的公司啊……
|
|
9
wujiyongheng OP @v1 卧槽,这是做什么的
|
|
11
v1 1 天前
@wujiyongheng 远控 shell+偷文件
@suhu 白加黑,jli 本身是 java 内有的,但是没做校验会被直接载入。2019 年曾经大范围被使用。具体可以参阅: https://pub1-bjyt.s3.360.cn/bcms/%E5%8D%97%E4%BA%9A%E5%9C%B0%E5%8C%BAAPT%E7%BB%84%E7%BB%872019%E5%B9%B4%E5%BA%A6%E6%94%BB%E5%87%BB%E6%B4%BB%E5%8A%A8%E6%80%BB%E7%BB%93.pdf |
|
12
wujiyongheng OP 卧槽,这么公然投毒,这个域名里面是个博客,没查到什么信息
|
 |
13
rabbbit 1 天前
|
|
14
v1 1 天前  2
@wujiyongheng 没事的,已经确认是属于 Parallax RAT 变种的,c2 地址 206.119.175.162 ,目前服务器已挂,样本提交上去了
|
 |
15
gullitintanni 1 天前
我司只接受纯文本简历(招聘页面上明确写了,不算刁难),
但凡收到花里胡哨样式的 docx/pdf/html+css 简历,不管有多优秀一律 pass 。 主要优点是方便检索和归档,也能筛选掉一堆批量投递的机器人以及价值观不合的应聘者。 当然也不怕被投毒了,有在纯文本中投毒的本事,根本没必要应聘我司😂 |
 |
16
levelworm 1 天前 via iPhone
@gullitintanni 我还真没见过这种公司,可能国内规矩不同?全文本那一般还得重新排版。
|
|
18
wujiyongheng OP @v1 还好,没在本机打开
|
 |
19
tomatocici2333 15 小时 12 分钟前
@gullitintanni #15 那其实直接发 markdown 就行了
|
 |
20
johnnyyeen 10 小时 46 分钟前
@v1 msvcr 给我看笑了
|
 |
21
Meteora626 7 小时 36 分钟前
@v1 大佬 好奇问一下,这种病毒 火绒啥的能防御住么
|
|
22
v1 3 小时 12 分钟前
@Meteora626 白加黑的伪装目的就是免杀……
|
Select Language