2023 年 11 月 24 日收到一封邮件，我是公司法人，点开看看发票不过分吧？（虽然我从来不管公司的业务）
第一次在 V 站发贴，不知道怎么发图，我发文字算了。
收到邮箱如下：
flourishingmax11 发给 yxxxxx 2023-11-24 09:35
发件人请求阅读收条，您愿意发送收条吗？ 发送
购方名称： 北京 xxxx 信息技术有限公司
开票日期：2023-11-23
发票代码：033022200111
开票金额：978.00 元
发票号码：30297846
发票 PDF：下载发票

点击下载发票，跳转到了一个页面，是一个存储到 QQ 邮箱中转站的 zip 文件，打开 zip 里面是一个chm 文件，点击打开没什么反应，就是屏幕闪烁了一下。我看没什么作用，还手贱多点了几次，还是没什么东西出来，我就没管了。
今天突然发现笔记本电脑摄像头自动打开了，然后我就打开 windows 相机隐私设置，发现有一个应用打开了我的摄像头，是一个svchost.exe文件，鼠标移动到文件上面，还出现了公司信息：杭州诸相网络科技有限公司。
我 google 之后发现这家公司有很大的问题，一份浙江省通信管理局通报存在问题的应用软件名单：

序号
应用名称
应用开发者
应用来源
应用版本
所涉问题

50
虚贝租号
杭州诸相网络科技有限公司
应用宝
2.9.0
违规收集个人信息

还有一则新闻：
近日，家住广州的陈先生向南都记者报料，其 14 岁的孩子近期多次通过“虚贝租号”网站，购买已完成人脸识别的游戏账号，借此绕开防沉迷系统。“虽然每次金额不大，但隔三差五在学习时间花一、两个小时玩游戏，是否会对孩子的学习及身心健康造成影响？”陈先生向南都记者表达了担忧。
这家公司在做什么事情，不用我多说了吧，请大家避雷。
svchost.exe 文件正常是删不掉，系统提示被占用不能删，我进 PE 系统把它删掉了已经，过几天看看还有没有问题吧

经老哥提醒，可以发一下我点的 chm 文件。发邮件那人已经存好了，我直接放上来，是存在 QQ 邮箱中转站文件里面的，应该可以放心下载，只要不点 chm 文件，我把链接给一下： wx.mail.qq.com/ftn/download?func=3&key=9ec6016250de9fdaacb54c6233396538b51d66623139653844161a16540b060c000b4f56500c5715000900011c01530100140053070c0701505f0054060177385309505101085408555e0405594a4b4208497669d86a80d8dfbfedb04ba8d2a8f764579534ce1d&code=a9bb19e8&k=9ec6016250de9fdaacb54c6233396538b51d66623139653844161a16540b060c000b4f56500c5715000900011c01530100140053070c0701505f0054060177385309505101085408555e0405594a4b4208497669d86a80d8dfbfedb04ba8d2a8f764579534ce1d&fweb=1&cl=1

签名都会存在盗用的可能性，公司信息更是可以随便写了。。。你现在需要检查的是电脑中的远控木马，黑客现在已经进入你电脑了，你要小心公司重要数据泄密、勒索等一系列情况。联系安全厂商检查电脑吧。你用的什么安全软件，打开恶意 chm 文件都没拦截提示么？

你看到的那个 svchost.exe ，只是用来加载恶意 DLL 的

我靠，这么严重吗，我没装任何安全软件，windows 自带的都被我禁了 QAQ

意思是这家公司可能是被我冤枉了吗？说起来确实也挺奇怪的，为什么公司信息直接写在文件上

安全意识有待提高，chm 中毒就不说了，毕竟不是所有人都有相关知识。不明来源文件点开没反应居然好久没意识到有问题还有中病毒了居然想着删文件就好了，重装系统吧，不让钱丢了都不知道怎么丢的

上周遇到过的情景：通过邮件发送的压缩包，内部伪装成 dmg 里面又套了 msi 。这位人员刚开始以为是重要资料，就点开了，也是闪了一下就没了。好的一点是这位人员有良好的安全意识，直接上报了。后来我们这边特意测试了下，安全软件真就一个都没起效，就很奇怪。

还有听你的描述感觉像是被人盯上了…建议你把密码什么的全都改了，记得不要在这台电脑上操作估计你电脑上的所有东西都泄漏了，拿你的信息去做什么事就不知道了

这不就是之前 gpt 哥撕逼的公司吗 /t/966984

很正常，现在很多电脑都会做免杀的

很正常，现在很多电脑病毒都会做免杀的

我哭辽。。好吧，看来只能重装系统了，这样想想感觉这个故意透露的公司名称，可能就是想让我放松警惕，不要采取什么其他措施，才整出来的。总之安心一点我还是重装系统吧。

我 google 这家公司的时候，也看到这条帖子了，好像还挺火的。。。我不说了，我去重装系统了。。。

重装系统，基本的安全软件还是装一下。比如火绒

你可以把 chm 打包传到网盘上，然后发到这里

有点巧哦

svchost.exe 是 windows 系统进程，但内部加载执行了什么命令就说不准了

杭州诸相网络科技有限公司？这不是之前挺火的

我说怎么有点印象

好主意，我在附言上面添加一下，它这个文件本来就相当于存在网盘上的，是存在 QQ 邮箱中转站文件里面的，我把链接给一下

都是公司法人了，安全意识都这么差？你就当这台电脑上的所有资料，包括各种密码都被偷了。在这个假设上亡羊补牢。

卡巴斯基未报毒

诸相网络啊。。。也是 V 站老熟人了 /t/966984 /t/966243

CHM 解压出来是个很大的 HTML ，unescape 后扫描结果是这个： www.virustotal.com/gui/file/d5273546aeacccc35c22c6c48c726619fc8e8faad92632cf2d561da705c58ddb/detection

你胆子好大，陌生邮件里的福建居然敢下载后并解压双击里面的文件🤣很容易中毒的，很多病毒后缀特意不写 exe ，改成图片之类的后缀

＃23 卧槽，一片红啊

habo.qq.com/file/showdetail?md5=30fc55ddc4e9b6c48a0e9c68b13f0911哈勃分析

那么，接下来的故事，应该是这样的：Hi there!Unfortunately, I need to start our conversation with bad news for you.Around few months back I managed to get full access to all devices of yours,which are used by you on a daily basis to browse internet.Afterwards, I could initiate monitoring and tracking of all your activities on the internet.I am proud to share the sequence of how it happened:In the past I bought from hackers the access to various email accounts (today, that is rather a simple thing to do online).Clearly, it was not hard at all for me to log in to your email account (...).A week after that, I had already managed to effortlessly install Trojan virus to Operating Systems of all devices that are currently in your use,and as result gained access to your email.To be honest, that was not really difficult at all (because you were eagerly opening the links from your inbox emails).I know, I am a genius. ~-~With help of that software, I can gain access to all controllers in your devices (such as video camera, keyboard and microphone).As result, I downloaded to my remote cloud servers all your personal data, photos and other information including web browsing history.Likewise, I have complete access to all your social networks, messengers, chat history, emails, as well as contacts list.My intelligent virus unceasingly refreshes its signatures (due to its driver-based nature), and hereby stays unnoticed by your antivirus software.Herbey, I believe that now you finally start realizing how I could easily remain unnoticed all this while until this very letter...While collecting information related to you, I had also unveiled that you are a true fan of porn sites.You truly enjoy browsing through adult sites and watching horny vids, while playing your dirty solo games.Bingo! I also recorded several filthy scenes with you in the main focus and montaged some dirty videos,which demonstrate your passionate masturbation and cum sessions.In case you still don't believe me, all I need is just one-two mouse clicks to make all your unmasking videos become available to your friends,colleagues, and even relatives.Well, if you still doubt me, I can easily make recorded videos of your orgasms become a public.I truly believe that you surely would avoid that from happening, taking in consideration the type of the XXX videos you love watching,(you are clearly aware of what I mean) it will result in a huge disaster for you.Well, there is still a way to settle this tricky situation in a peaceful manner:You will need to transfer $950 USD to my account (refer to Bitcoin equivalent based on the exchange rate at the moment transfer),so once funds transfer is complete, I will straight away proceed with deleting all that dirty content from servers once and for all.Afterwards, you can consider that we never met before. You have my honest word,that all the harmful software will also be deactivated and deleted from all your devices currently in use. Worry not, I keep my promises.That is truly a win-win solution that comes at a relatively reduced cost,mostly knowing how much effort I spent on monitoring your profile and traffic for a considerably long time.In event that you have no idea about means of buying and transferring bitcoins -don't hesitate to use any search engine for your assistance (e.g., Google, Yahoo, Bing, etc.).My bitcoin wallet is as follows: xxxxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxxxAn important notice: I have specified my Bitcoin wallet with "-" symbols,hence once you carry out a transfer, please make sure that you key-in my bitcoin address without "-" to be sure that your funds successfully reach my wallet.I have allocated 48 hours for you to do that, and the timer started right after you opened this very email (2 days to be exact).Don't even think of doing anything of the following:! Abstain from attempting to reply me (this email was created by me inside your inbox page and the return address was generated accordingly).! Abstain from attempting to get in touch with police or any other security services. Moreover, don't even think of sharing this to you friends. Once I discover this (apparently, that is absolutely easy for me, taking in consideration that I have complete control over all systems you use) - kinky video will straight away be made public.! Don't even think of attempting to find me - that is completely useless. Don't forget that all cryptocurrency transactions remain completely anonymous.! Don't attempt reinstalling the OS on all your devices or getting rid of them. That won't lead you to success either, because I have already saved all videos at my remote servers as a backup.Things you should not be concerned about:! That your funds transfer won't reach my wallet.- Worry not, I can see everything, hence after you finish the transfer, I will get a notification right away (trojan virus of mine uses a remote-control feature, which functions similarly to TeamViewer).! That I

这还只是一个 Loader ，真正执行的还在后面。

imgur.com/a/QsZqLmN.jpg点下载 WD 直接就给干掉了

？怎么跟我之前看到的新闻一模一样大概就是你这样，点了邮件，中了病毒然后，通过远程控制，伪造自己事老板，然后让会计转钱你既然都是法人了，那么建议你跟手下的人说一下，最近转钱的事情，要当面或者电话确认

www.163.com/dy/article/IK8M0SM80511A5GF.html想起来了，是在火绒安全公众号看见的，这是新闻原本链接

这是 Base64 解码后的 Shellcode ，是一个序列化后的数据 www.virustotal.com/gui/file/75ca3f71a33b7cee987579fb8e4a653f088f24c79eca341dd43490c52f89715d/detection

后续的模块在这里： variety.oss-cn-hongkong.aliyuncs.com/foxconfig?⌁GetRemoteLis

从这个病毒的配置文件来看，属于国内的小黑客（关键字 sb360qunimade ）C:\Users\%USERNAME%\AppData\Local\VirtualStoreFoolish.png=Foolish.png sb360qunimade.oss-cn-hongkong.aliyuncs.com/wps.txt=svchost.exe dlltemasil.oss-cn-hongkong.aliyuncs.com/libcef.dll=libcef.dll platformi.oss-cn-hongkong.aliyuncs.com/Foolish.dat=Foolish.dat sb360qunimade.oss-cn-hongkong.aliyuncs.com/ApexFramework_x86.dll=ApexFramework_x86.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/AudioLib.dll=AudioLib.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/CertLib.dll=CertLib.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/CrashRpt1403.dll=CrashRpt1403.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/d3dx9_42.dll=d3dx9_42.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/FreeImage.dll=FreeImage.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/IMProtocol.dll=IMProtocol.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/ImShareUtil.DLL=ImShareUtil.DLL sb360qunimade.oss-cn-hongkong.aliyuncs.com/libcrypto-1_1.dll=libcrypto-1_1.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/libcurl.dll=libcurl.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/libexpat.dll=libexpat.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/libogg.dll=libogg.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/libssl-1_1.dll=libssl-1_1.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/libvorbis.dll=libvorbis.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/libvorbisfile.dll=libvorbisfile.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/MSVCP120.dll=MSVCP120.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/MSVCR71.dll=MSVCR71.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/MSVCR90.dll=MSVCR90.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/MSVCR120.dll=MSVCR120.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/Physics.dll=Physics.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/PhysX3_x86.dll=PhysX3_x86.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/PhysX3Cooking_x86.dll=PhysX3Cooking_x86.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/PxFoundation_x86.dll=PxFoundation_x86.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/PxPvdSDK_x86.dll=PxPvdSDK_x86.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/ResLib.dll=ResLib.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/ScanEngine.dll=ScanEngine.dll sb360qunimade.oss-cn-hongkong.aliyuncs.com/steam_api.dll=steam_api.dll

身边做财务的朋友已经有几个中招了, 听说是远程控制电脑微信群发 , chm 和 vbe 格式

＃3 这... 就这么有勇气？

上面这一堆，免杀做得不错，VT 基本是 0

＃37 我用卡巴试了一下，被杀了。有没有胆子大的试试别家的

下载了一坨多益游戏的文件，不过有三个感觉是恶意的。典型的白加黑，先加载 libcef.dll ，之后加载，Foolish.png 和 Foolish.dat 。特别是 libcefl.dll ，算是源码级的免杀了。Foolish.png 被解密出一个 pe 文件，看 pdb 文件， E:\2023-TianMa~\TMAir_Ghost10.0_dev_vs2022 标记 v4.5.0\TMAir_Ghost10.0_dev_vs2022\dependencies\include\fmt\core.h算是 gh0st 的改版的远控了。这一系列算是这两年特别出名的，银狐干的。这个名字没有个准确的组织，算是这一系列的总成。重装系统吧。虽然没找到有什么特殊的自启动，毕竟心里安心。

各位大佬好厉害…涨知识了，已经重装系统了，现在还在安装软件

手机上的微信，最好改密后、退出重新下。

下载链接失效，谁补一下？我最近在研究逆向工程，想找个样本玩玩。

密码口令都要去改了，有的病毒不止是本身，还拖家带口其他病毒过来，可以把 chromium 系存的密码都拿走。

你咋不把 explorer.exe 删了呢

看到 chm 文件就应该意识到是恶意邮件了吧

1. 银狐木马家族的新变种。2. 攻击者使用那个邮箱发给你，不排除那个邮箱是失陷的。3. 这个家族的特征算是比较固定，清理即可，不需要重装。

突然在想我有没有什么时候点过什么，中毒了还不自知……

这些病毒有老哥有源代码吗？想学习一下思路.......

根据 OSS 这个 bucket 的名称可以找到这个阿里云账号，看看能不能让网警联系阿里云，冻结这个 oss bucket 及账号

首先。。为什么要点击链接？

不能点击未知链接是常识，毕竟坏人太多。

程序编译了打包进 JS 了。

hesudu.com/t/995012＃reply4 我就知道会有人提起这个问题，只是我一直没问题，也不知道怎么回事。

未知邮件我本就一律删除看都不看。自己是否使用了邮件或者跟别人交代了你的邮件本人肯定知道啊。

我重装系统文件已经没了，看看其他人还有没有。3 天过去了都没失效，突然这时候失效，这小子估计也上 V 站

看到 8 楼, 怎么还是连续剧...

我以为只有大叔大伯会去点。，。。

＃55 不一定，可能仅仅是访问次数、频率到了而已。。另外，电脑重装已经不重要了，抓紧跟公司财务、银行联系一下，在资金流动上多用点心，多加点防备措施。 你如果不是公司重要成员，抓紧把公司法人推掉吧。你搞这么一出，不管是对你，还是对公司，都很危险。。

槽点满满

＃56 ＃33 ＃22 ＃8 我重新吃完 GTP 哥的瓜（果然是老早就吃过的）感觉这个黑客哥应该是个绿林好汉，它所指向的网站“诸相网络”大概是放出来的烟雾弹。的确是个好思路，拉完 shit 之后用这些黑名单做厕纸，顺手增加不良公司的曝光率～（相信又不少人和我一样又重新回味了一遍，或者第一次了解到什么是诸相网络，什么是虚贝租号。——帖子里的老哥们都疯狂增加这几个词的 SEO 。故事的主角 GPT 哥是刻板印象中的老实技术男，作为吃瓜群众，看完整个剧情之后只能“哀其不幸怒其不争”。然而，我相信更多的人从故事中看到另一个可能的自己，一个被其他人 PUA 过的自己，一个曾相信技术改变世界的自己）如果这类技术大佬走梁山路，希望他们的屠龙刀不要指向弱者，当然更不要中了预言——屠龙勇士变恶龙。（既然 GPT 哥事件起源 V2 ，有理由怀疑做这件事的好汉也很可能会看到这个帖子）

重做系统也记得硬盘重新分区一下

这是经典的 c&c 远控，chm 里嵌 js ，拉起 PowerShell 关闭.net 安全校验，.net 下载白 dll 和黑负载，白加黑绕过杀软最终加载进系统潜伏，拉屎还是偷鸡摸狗就看控制者的玩法了，看网上说基本上是当大批量肉鸡卖，中招了如果没有备份一般建议是直接重装

长知识了。

我 2006 年第一次中毒被盗号，就是收到了同学发给我的 chm ，说这本书很好看，点开闪了一下就没了没想到 2023 年还能看到文艺复兴

＃33 我去，老哥，点开这个链接不会出什么问题吧，点开鼠标开始转圈了

文件已过期或已被删除

不会，那个只是阿里的 OSS 存储服务，单纯访问是安全的。目前小黑客已经把配置文件下线了。

看描述是银狐木马，最近特别流行，下载器使用白加黑，木马程序也是白加黑，杀软基本没用，主要靠 IP 或者域名情报监测，传播方式主要为邮件或者微信群钓鱼，你遇到到的是最典型的发票邮件钓鱼。检查一下 C:\Users\Public\Downloads 下有没有蓝色小马图标 exe

重要资产竟然连 defender 都禁用。。 这不是又菜又爱玩么。。。 上网习惯良好不代表不会掉坑里。 本站还有很多类似把 update 和 defender 都禁用，但是又什么都不安装的裸奔人士， 做黑产的可太喜欢这些人了，免杀都省的做了。

哈哈哈抱歉楼主，想到这病毒搞这么一大圈就为了刷你的脸给小学生玩游戏，这我有点被笑道

原来是这样，我说怎么看着有点眼熟

开了 UAC 吗 还是提权你给同意了？没触发 UAC 的话有点厉害的

Windows 绕 uac 不要太简单。op 也是 nb ，不明白的发件人发的东西都敢点，敢下载，敢执行。不中招都不行了。

op 厉害了，电脑不安装任何安全软件，，还是公司法人。就不怕公司机密泄露么。老牌安全软件 nod32 淘宝蓝蝶买正版八九多就能用三年。卡巴斯基一百多也能用三年。幸好数据没被加密。不然就只能等着交赎金。

真的感激，可以避免别人掉坑里