739076897
7/23/2021, 1:37:03 AM
本帖最后由 739076897 于 2021-7-23 09:50 编辑
我是通过朋友了解到这2个启动器 却经过 腾讯哈勃分析 报告说有蠕虫病毒 这是发布的最新版本:
查看图片 (t.me)
我下载的版本:
查看图片 (t.me)
另外声明下 服务器备用的 启动器 : 还有个 Nsiso 启动器 这个更为疯狂 直接高度风险
这件事情也是通过我朋友我才知道的,我朋友是开服务器的,他的服务器因遭到恶意举报经查询无果后 却因为启动器说恶意散播病毒为由 封禁了他的bbs 账号,而这个启动器罪魁祸首就是 Airme 我也不知道为什么 这种帖子也能申请到精华帖 望求解决 。
Arime 启动器bbs 链接 :Airme启动器3.0 —— 微软账户登录丨全版本支持丨外置登录丨缓动动画 - 软件资源 - Minecraft(我的世界)中文论坛 - (mcbbs.net)
Nsiso 启动器bbs 链接:[全版本]Nsiso启动器 —— 支持最新预览版本|高自定义|正版/外置登录|开源 - 软件资源 - Minecraft(我的世界)中文论坛 - (mcbbs.net)
另附 某版主 反馈信息:
我朋友被封的bbs账号: (UID: 1676603)
望求解决!!!!
也希望这种启动器 不要再祸害到其他服务器 开服务器的用到这个启动器 别人举报下 就可以说是服主恶意散播病毒了,就这样随意封掉别人账号吗?
希望能给我们个合理的答复,谢谢
我是通过朋友了解到这2个启动器 却经过 腾讯哈勃分析 报告说有蠕虫病毒 这是发布的最新版本:
查看图片 (t.me)
我下载的版本:
查看图片 (t.me)
这件事情也是通过我朋友我才知道的,我朋友是开服务器的,他的服务器因遭到恶意举报经查询无果后 却因为启动器说恶意散播病毒为由 封禁了他的bbs 账号,而这个启动器罪魁祸首就是 Airme 我也不知道为什么 这种帖子也能申请到精华帖 望求解决 。
Arime 启动器bbs 链接 :Airme启动器3.0 —— 微软账户登录丨全版本支持丨外置登录丨缓动动画 - 软件资源 - Minecraft(我的世界)中文论坛 - (mcbbs.net)
Nsiso 启动器bbs 链接:[全版本]Nsiso启动器 —— 支持最新预览版本|高自定义|正版/外置登录|开源 - 软件资源 - Minecraft(我的世界)中文论坛 - (mcbbs.net)
另附 某版主 反馈信息:
我朋友被封的bbs账号: (UID: 1676603)
望求解决!!!!
也希望这种启动器 不要再祸害到其他服务器 开服务器的用到这个启动器 别人举报下 就可以说是服主恶意散播病毒了,就这样随意封掉别人账号吗?
希望能给我们个合理的答复,谢谢
jjxxz2
7/23/2021, 1:40:24 AM
miao666
7/23/2021, 2:00:29 AM
万一是你朋友电脑本身就有这种毒呢?
739076897
7/23/2021, 2:01:59 AM
739076897
7/23/2021, 2:03:49 AM
服务器 帖子 全自己撤掉了 就因为一个Arime 启动器
sjjklh
7/23/2021, 2:04:25 AM
已转综合讨论大区及软件版版主处理
miao666
7/23/2021, 2:10:29 AM
sjjklh 发表于 2021-7-23 10:04
已转综合讨论大区及软件版版主处理
阿这 奖励会被回收吗
洞穴夜莺
7/23/2021, 2:11:54 AM
本帖最后由 洞穴夜莺 于 2021-7-23 10:13 编辑
这种破玩意Window Defender都能查得出来
这种破玩意Window Defender都能查得出来
EmptyLava
7/23/2021, 2:35:56 AM
本帖最后由 EmptyLava 于 2021-7-23 10:44 编辑
你下载的启动器和名下服务器的备用启动器都被感染了蠕虫病毒,你可以和发布帖的文件大小对比一下,感染的文件会大1MB左右。
#Arime启动器发布帖下方Beta 1.03的微步报告链接放错了,应该是这个https://s.threatbook.cn/report/file/22492cc8152f2355b4b1fcbe7fc0ffd17529ddb949c3d62f03ea4e77cfc775bc/?env=win7_sp1_enx64_office2013
你下载的启动器和名下服务器的备用启动器都被感染了蠕虫病毒,你可以和发布帖的文件大小对比一下,感染的文件会大1MB左右。
#Arime启动器发布帖下方Beta 1.03的微步报告链接放错了,应该是这个https://s.threatbook.cn/report/file/22492cc8152f2355b4b1fcbe7fc0ffd17529ddb949c3d62f03ea4e77cfc775bc/?env=win7_sp1_enx64_office2013
739076897
7/23/2021, 2:39:47 AM
EmptyLava 发表于 2021-7-23 10:35
你下载的启动器和名下服务器的备用启动器都被感染了蠕虫病毒,你可以和发布帖的文件大小对比一下,感染的文 ...
他是 蓝奏云下载的 不是百度网盘 我蓝奏云 现在已经打不开了 不知道为什么
洞穴夜莺
7/23/2021, 2:42:22 AM
739076897 发表于 2021-7-23 10:39
他是 蓝奏云下载的 不是百度网盘 我蓝奏云 现在已经打不开了 不知道为什么 ...
这是因为lanzous现在已经改成了lanzoux
739076897
7/23/2021, 2:46:12 AM
EmptyLava 发表于 2021-7-23 10:35
你下载的启动器和名下服务器的备用启动器都被感染了蠕虫病毒,你可以和发布帖的文件大小对比一下,感染的文 ...
您可以试试下载 nsiso 启动器 我在官网下的最新版 也报毒
739076897
7/23/2021, 2:47:57 AM
SSSSSteven
7/23/2021, 2:48:41 AM
本帖最后由 tnqzh123 于 2021-7-23 10:50 编辑
为防止未来可能出现的纠纷,相关页面我们已进行快照取证:本帖、Airme 发布帖、Nsiso 发布帖
首先需要声明的是软件版早已不接受腾讯哈勃的查毒报告,因此软件版对楼主提供的腾讯哈勃的查毒报告并不 100% 采信。
Airme 启动器我们正在调查中,但需要说明的是 Airme 本身为易语言程序,容易误报,查毒报告并非 100% 准确。
关于 Nsiso 启动器,楼主提供的查毒报告(链接)与原作者提供的查毒报告(链接)对比,MD5、出品公司、版本号、编译器等信息均不一致,而我们从发布帖处下载到的启动器样本的 MD5 与原作者提供的查毒报告中的一致,可以认为原作者提供的资源和查毒报告没有问题;且 Nsiso 启动器本身为开源软件,如果用户担心原作者发布的版本有问题可以自行获取源码编译,原作者没有单独发布一个带毒版本的理由。因此我们认为,楼主的 Nsiso 启动器为第三方打包的带毒版本,相关责任应由楼主自行承担。
为防止未来可能出现的纠纷,相关页面我们已进行快照取证:本帖、Airme 发布帖、Nsiso 发布帖
首先需要声明的是软件版早已不接受腾讯哈勃的查毒报告,因此软件版对楼主提供的腾讯哈勃的查毒报告并不 100% 采信。
Airme 启动器我们正在调查中,但需要说明的是 Airme 本身为易语言程序,容易误报,查毒报告并非 100% 准确。
关于 Nsiso 启动器,楼主提供的查毒报告(链接)与原作者提供的查毒报告(链接)对比,MD5、出品公司、版本号、编译器等信息均不一致,而我们从发布帖处下载到的启动器样本的 MD5 与原作者提供的查毒报告中的一致,可以认为原作者提供的资源和查毒报告没有问题;且 Nsiso 启动器本身为开源软件,如果用户担心原作者发布的版本有问题可以自行获取源码编译,原作者没有单独发布一个带毒版本的理由。因此我们认为,楼主的 Nsiso 启动器为第三方打包的带毒版本,相关责任应由楼主自行承担。
739076897
7/23/2021, 2:51:06 AM
tnqzh123 发表于 2021-7-23 10:48
为防止未来可能出现的纠纷,相关页面我们已进行快照取证:本帖、Airme 发布帖、Nsiso 发布帖
首先需要声明 ...
我朋友 bbs 账号 被封停 服务器板块的版主 用的就是哈珀的报告
查看图片 (t.me)
SSSSSteven
7/23/2021, 2:53:00 AM
本帖最后由 tnqzh123 于 2021-7-23 11:16 编辑
服务器版怎么做我们软件版管不着,我们也已经通知相关版主在以后的检查工作中不要使用腾讯哈勃了
况且请你先认真读完我的说明之后再回复
739076897 发表于 2021-7-23 10:51
我朋友 bbs 账号 被封停 服务器板块的版主 用的就是哈珀的报告
服务器版怎么做我们软件版管不着,我们也已经通知相关版主在以后的检查工作中不要使用腾讯哈勃了
况且请你先认真读完我的说明之后再回复
xmdhs
7/23/2021, 2:53:06 AM
本帖最后由 xmdhs 于 2021-7-23 10:54 编辑
你有没有想过是你的电脑中毒了。
虽然不明白如今的环境下,一个不知道多少年前的,还是用 delphi 写的病毒还能这么广泛的传播。
这个 Synaptics 也就是所谓的蠕虫病毒,会感染你下载到的 exe,所以你下载再上传,当然就会报毒。具体分析网上都有一堆了。甚至站内都有 https://www.mcbbs.net/thread-1212476-1-1.html
你有没有想过是你的电脑中毒了。
虽然不明白如今的环境下,一个不知道多少年前的,还是用 delphi 写的病毒还能这么广泛的传播。
这个 Synaptics 也就是所谓的蠕虫病毒,会感染你下载到的 exe,所以你下载再上传,当然就会报毒。具体分析网上都有一堆了。甚至站内都有 https://www.mcbbs.net/thread-1212476-1-1.html
739076897
7/23/2021, 2:56:09 AM
本帖最后由 739076897 于 2021-7-23 10:58 编辑
另外 请版主 看一下我帖子发布的 服务器版主 给我朋友查封的警告 报告上也说的 是 Airm 或许是Airm 启动器感染别的呢? 有没有这种可能性
还有这个报告https://s.threatbook.cn/report/f ... p1_enx64_office2013
tnqzh123 发表于 2021-7-23 10:48
为防止未来可能出现的纠纷,相关页面我们已进行快照取证:本帖、Airme 发布帖、Nsiso 发布帖
首先需要声明 ...
另外 请版主 看一下我帖子发布的 服务器版主 给我朋友查封的警告 报告上也说的 是 Airm 或许是Airm 启动器感染别的呢? 有没有这种可能性
还有这个报告https://s.threatbook.cn/report/f ... p1_enx64_office2013
EmptyLava
7/23/2021, 2:56:29 AM
本帖最后由 EmptyLava 于 2021-7-23 11:01 编辑
你曾经下载的文件属于蠕虫病毒,但md5对不上,作者没有责任。
你现在下载的文件报毒,但不属于蠕虫病毒,是否为病毒以相关版块版主讨论结果为准。
你曾经下载的文件属于蠕虫病毒,但md5对不上,作者没有责任。
你现在下载的文件报毒,但不属于蠕虫病毒,是否为病毒以相关版块版主讨论结果为准。
739076897
7/23/2021, 2:59:41 AM
EmptyLava 发表于 2021-7-23 10:56
你曾经下载的文件属于蠕虫病毒,但md5对不上,作者没有责任。
你现在下载的文件报毒,但不属于蠕虫病毒, ...
嗯 关于病毒 我其实也不清楚 但是 另外板块的版主 说我朋友 启动器 报毒 把他bbs 号都封停了 我只想说 我们支持官方启动器 但是 为什么还会有报毒现象呢? 导致我朋友 bbs 账号被封
洞穴夜莺
7/23/2021, 3:01:43 AM
EmptyLava 发表于 2021-7-23 10:56
你曾经下载的文件属于蠕虫病毒,但md5对不上,作者没有责任。
你现在下载的文件报毒,但不属于蠕虫病毒, ...
然而,原帖提供的查毒报告就显示文件为恶意https://s.threatbook.cn/report/f ... p1_enx64_office2013且被Windows Defender查杀,而帖内无任何关于此现象的说明,这合理吗?
739076897
7/23/2021, 3:02:36 AM
739076897 发表于 2021-7-23 10:51
我朋友 bbs 账号 被封停 服务器板块的版主 用的就是哈珀的报告
2个都爆红
739076897
7/23/2021, 3:03:00 AM
xmdhs 发表于 2021-7-23 10:53
你有没有想过是你的电脑中毒了。
虽然不明白如今的环境下,一个不知道多少年前的,还是用 delphi 写的病毒 ...
检测过了 是没有的
739076897
7/23/2021, 3:07:02 AM
EmptyLava 发表于 2021-7-23 10:56
你曾经下载的文件属于蠕虫病毒,但md5对不上,作者没有责任。
你现在下载的文件报毒,但不属于蠕虫病毒, ...
SHEEP_REALMS
7/23/2021, 3:09:31 AM
我尝试复原了消失版主的电脑杀毒环境,火绒防护全开,病毒库为最新,从下载Airme、解压到运行Airme、关闭Airme的过程中均未报毒,初始化释放了一个文件和一个文件夹,无进程残留。
SSSSSteven
7/23/2021, 3:09:42 AM
本帖最后由 tnqzh123 于 2021-7-23 11:22 编辑
不管原作者发布的预编译版本带不带毒、是哪个带毒、带什么毒,目前已经确定的是你们服务器提供的客户端内的启动器就是带毒的,号是解封不了的
Nsiso 原作者发布的预编译没有问题,况且人家是开源软件,有什么问题直接审查源码就是,就不要追着问了;Airme 我们也说了我们还在调查中,有相关进展我们会及时公示和处理的
防范这类问题最好的办法就是服务器客户端里不要带启动器或者任何可执行文件,发布类似 MCBBS 整合包格式的客户端,让用户自己下载启动器后导入整合包,这样就不会有类似的隐患,分发服务器客户端也会更方便
739076897 发表于 2021-7-23 10:56
另外 请版主 看一下我帖子发布的 服务器版主 给我朋友查封的警告 报告上也说的 是 Airm 或许是Airm 启动 ...
不管原作者发布的预编译版本带不带毒、是哪个带毒、带什么毒,目前已经确定的是你们服务器提供的客户端内的启动器就是带毒的,号是解封不了的
Nsiso 原作者发布的预编译没有问题,况且人家是开源软件,有什么问题直接审查源码就是,就不要追着问了;Airme 我们也说了我们还在调查中,有相关进展我们会及时公示和处理的
防范这类问题最好的办法就是服务器客户端里不要带启动器或者任何可执行文件,发布类似 MCBBS 整合包格式的客户端,让用户自己下载启动器后导入整合包,这样就不会有类似的隐患,分发服务器客户端也会更方便
tallmoon
7/23/2021, 3:10:56 AM
739076897 发表于 2021-7-23 10:47
https://www.mcbbs.net/forum.php?mod=viewthread&tid=672030
兄弟你这铁被感染(nsiso不是.net出来的吗,编译器信息都不对),我下的最新版md5:c1862b164fc5b9af141660a9bf33696c
https://habo.qq.com/file/showdetail?pk=ADcGYF1pB2cIO1s%2FU2s%3D
这是链接,建议换一台电脑或者杀毒之后再次下载
739076897
7/23/2021, 3:14:52 AM
tallmoon 发表于 2021-7-23 11:10
兄弟你这铁被感染(nsiso不是.net出来的吗,编译器信息都不对),我下的最新版md5:c1862b164fc5b9af14166 ...
是Arim 这个启动器 nsiso 版主说没问题
洞穴夜莺
7/23/2021, 3:17:51 AM
739076897
7/23/2021, 3:29:06 AM
洞穴夜莺 发表于 2021-7-23 11:17
你服务器那个是肯定带毒的,我还下载下来运行了一下,特征明显
服务器端自带的还是启动器.
739076897
7/23/2021, 3:30:11 AM
洞穴夜莺 发表于 2021-7-23 11:17
你服务器那个是肯定带毒的,我还下载下来运行了一下,特征明显
服务器版主封停账号 说是因为报毒 就直接封停了 因为违法了规则了 这我知道 但是 这个启动器是备用启动器 主启动器 是 mccl 如果电脑自带病毒 mccl 那个版主为什么 没有检测出来 奇了怪了
SHEEP_REALMS
7/23/2021, 3:38:28 AM
739076897 发表于 2021-7-23 11:07
、这是某版主的报告 沙盒报告 是 Airm 的
怎么说呢,Airme启动器唯一的高危行为是删除可执行文件,但这个行为删除的是它自己生成的文件。
剩下的一些看起来比较敏感的行为:
【反检测技术】检查适配器地址,可用于检测虚拟网络接口
实际上就是获取MAC地址,可能被用于写入用户登录信息。
【反逆向工程】
这个没什么好说的,不是开源软件搞个反逆向也是应该的。
【信息搜集】获取按键信息
获取了Ctrl、Shift、Alt的按键信息,一般用于快捷键操作。
【信息搜集】安装消息钩子
基操,看看你Windows 10右侧的通知中心。
其他也没啥好说的是个大软件基本都有。软件本身就是易语言编写的,很多时候为什么报毒连作者自己都不知道怎么解释。
洞穴夜莺
7/23/2021, 4:07:28 AM
SHEEP_REALMS 发表于 2021-7-23 11:38
怎么说呢,Airme启动器唯一的高危行为是删除可执行文件,但这个行为删除的是它自己生成的文件。
剩下的 ...
问题来了,Minecraft启动器要我的MAC地址干什么?
xmdhs
7/23/2021, 4:09:58 AM
洞穴夜莺 发表于 2021-7-23 12:07
问题来了,Minecraft启动器要我的MAC地址干什么?
uuid v1 了解下。
不过这种启动器多半是用来做加密,加密保存的 token 甚至是密码。虽然不可否认确实有用,但是意义还是不大嘛。
SHEEP_REALMS
7/23/2021, 4:10:20 AM
本帖最后由 SHEEP_REALMS 于 2021-7-23 12:17 编辑
第三方登录不是吗,把MAC地址提交到后台作为设备识别码,用作检测是否有异地登录、一设备多账号等功能
当然这些都是具体功能,实际上很多登录操作都会需要用到MAC地址
洞穴夜莺 发表于 2021-7-23 12:07
问题来了,Minecraft启动器要我的MAC地址干什么?
第三方登录不是吗,把MAC地址提交到后台作为设备识别码,用作检测是否有异地登录、一设备多账号等功能
当然这些都是具体功能,实际上很多登录操作都会需要用到MAC地址
洞穴夜莺
7/23/2021, 4:17:06 AM
SHEEP_REALMS 发表于 2021-7-23 12:10
第三方登录不是吗,把MAC地址提交到后台作为设备识别码,用作检测是否有异地登录、一设备多账号等功能 ...
MAC地址提交到后台
SHEEP_REALMS
7/23/2021, 4:19:43 AM
洞穴夜莺 发表于 2021-7-23 12:17
还提交,那不是更加恶劣了?
你是不是忘了还有加密等脱敏处理机制
Qingraw
7/23/2021, 5:26:28 AM
一年前就有星登录被封一批服务器,以及客户端报毒被封一批
我建议服务器做客户端用HMCL且去构建站下载(
我建议服务器做客户端用HMCL且去构建站下载(