[酷安][酷安][酷安]背景:机友家人比较小心,近期没扫过不明来源的二维码,手机一直登的一个微信号。有两台电恼,家里一台笔记本且已经排查为clean(全盘扫描完毕没有任何问题);工作室一台电恼很老,联网,专门用来登录萎欣打印文件,今下午刚刚全盘扫描了一遍,发现一个svhost.exe的并且已经处理,但那个病毒的路径在c:/users/documents/tencent/qq的同级目录(按说应该是劫持qq的,也可能鄙人才疏学浅判断错了),且该病毒的创建时间事去年二月的[流汗滑稽][受虐滑稽]
[酷安][酷安][酷安]症状:(按时间线整理)
手机电恼上没有任何异地或者其他设备登录提示,分别于28 29两天在不同的群里发送了软s*x广告
28号:正常用手机(没有打开萎欣)的时候突然别人打电话过来,问在群里发的什么(那时候第一批垃圾信息已经发出去了);查询聊天记录得知第一次发送垃圾信息的时间是中午12:55左右。之后于下午好友登录家人的号,没发现异地或其他设备登录的问题,并且当时发现有一部分发过垃圾信息的群聊已经不可见了(暂时不知道是腾讯保护暂时隐藏了那些群聊还是群管理给踢出了)
29号:以为一切正常,还是登陆了工作室电恼并打印文件,上午10:35:41秒再次被发送垃圾信息(与昨天发的一模一样且只有一个网址换了,推测事前一天的网址失效了于是更新了另一个网址,目前发的垃圾信息里的两个网址均已无法访问)。发送信息的时候确定同学家人正在另一间屋工作且手机息屏不在身边,工作电恼登录了微信但电恼确定没有人使用。
30号(今天早上):机友家人进入工作室并在工作电恼上登录微信,登陆后十几分钟显示被踢下线,群聊及朋友圈等功能被禁用;仅可登录常用设备及使用私聊功能。所有发过垃圾信息的群聊都被腾讯强制隐藏且查询不到发过的垃圾信息(证据无法提取了)。
[酷安][酷安][酷安]尝试杰撅方案:
1 昨天下午朋友家人已经去华为售后(华为手机,感觉跟什么手机关系不大)格机并保存数据恢复,我今天用momo检查了一下环境,没有任何异常(当然不排除华为安全补丁没更新,被p*d类似的day0漏洞感染提权了,但可能性很小吧)手机具体情况:华为nova7pro,Android12(哄懵3),Android安全补丁2021年7月,没解bl锁
2 今天对两台电脑进行了分析,其中:
(1)笔记本电恼(私人电恼)仍然可以登录微信,登录上以后发现有一个群聊在出问题的账号刚开始发垃圾信息的时候就把账号踢了,登录以后由于该账号不在群聊因此发送的垃圾信息可以看见(见图一),且垃圾信息的第二条和第三条因为没有在该电恼上打开过,因此【微信本地聊天记录文件夹里面没有相关视频和文件】;其他群聊因为没有把该账号踢出群聊,今天被腾讯保护以后找不到任何其他群的垃圾信息证据了。在该笔记本电脑上的账号聊天缓存文件夹里发现了29号发送垃圾信息的视频缩略图,但没有找到视频源文件和带有二维码的垃圾信息源文件(本人判断说明笔记本电恼只是同步了垃圾信息,但因为没有点开垃圾信息的图片或视频因此没有任何垃圾信息的聊天记录缓存,判定该电恼clean)。
(2)工作室的老台式电恼(重点嫌疑),通过查找本地聊天图片和视频,发现了【29号发送的垃圾信息的原视频(mp4文件的后缀名前面最后三位以raw结尾)】和【28号垃圾信息的视频缩略图】(忘了截图了);此外发现于29号发送垃圾信息的行为事——先于10:35:41发到了第一个群(第一个垃圾信息视频文件的创建和修改时间),然后不到半分钟内【在相同目录生成了一模一样名字的视频文件后缀带了(1)的副本】,但,除了源文件以外所有之后生成的副本都无法打开,只有文件名和文件大小与源文件一模一样;根据萎欣的屎山逻辑,在一个设备上转发几次就会生成几次副本,办公电脑有重大嫌疑。
此外,办公室另一位工作人员也反应自己在这台电脑上登陆过,且在本月7号还事12号也被不知情的情况下发过一模一样的垃圾信息,索性没在老电脑上登录太多次太长时间,只发了那一次。
但无法解释几个问题:1)——萎欣电脑版的视频和图片逻辑事,不点击查看图片或视频救不会下载到电恼,当时确定工作室电恼没有人用且办公室没人;
2)——明明有29号的垃圾信息视频源文件,却没有28号的,只有28号的视频缩略图;
3)—— 所有被发了垃圾信息的群聊都是无足轻重、无伤大雅不会社死的群聊,如小区业主群,狗狗交流群等,单位工作群领导群一个都没发,真事“善解人意“啊[流汗滑稽][受虐滑稽]
3 通过手机查找证据,因为手机昨天格机且群聊功能保护没法找到任何垃圾信息聊天记录,但在手机微信的收藏里找到了辣鸡信息的网址(图二),收藏时间正是28号。
4 本人将自己的萎欣小号登录了嫌疑最大的工作室电恼,今晚钓鱼看看能不能排除工作室电恼的嫌疑。
目前本人只能做到这里,如果有大佬有思路烦请告知,也欢迎酷友评论区讨论[受虐滑稽][抱拳]@酷安小编 @梨子 @alexkillers 烦请送个头条,非常感谢,信息安全无小事[流汗滑稽]
