前些天帮朋友发了一个招聘信息,论坛的朋友加了我,给我发了一份简历,我一看是一个 powershell 的脚本,还一个劲和我说可以打开,我从没见过这样形式的简历,留了 1 个心眼,用虚拟机看了下,应该是木马或者挖矿文件,请会反编译的朋友看看具体是啥,下载后请不要直接双击打开文件
大家都小心一点,我不知道是哪个论坛 ID
https://drive.google.com/drive/folders/1_HEBU7fMMRNy7qOIIZR3S4myWoK12uQz?usp=sharing
 |
1
wujiyongheng OP google drive 咋不能上传压缩包
|
|
2
wujiyongheng OP 用加密可以上传,解压密码 111111
|
 |
3
pingdog 14 小时 12 分钟前 via Android
定向投毒,偷钱包的,脉脉上几过几次
|
|
4
pingdog 14 小时 9 分钟前 via Android
现在要不让对方整到 Google docs/ms 365
要不发 pdf 自己在传上 google docs ,不在本地打开 |
 |
5
Keystroke 14 小时 8 分钟前 via iPhone
可能他心想:这都敢点开的公司我不去
|
 |
6
v1 13 小时 33 分钟前
脚本下载两个文件
一个是一位 web3 倒霉蛋的 pdf 简历(来自拉勾网) https://pan.tenire.com/down.php/c5932995bbb5708687fb1014ee01d6b9.pdf 一个是 pkg.zip ,解压同时执行 vbs http://pan.tenire.com/down.php/83b341a1caab40ad1e7adb9fb4a8b911.zip 其中 pkg.zip 内文件: CreateHiddenTask.vbs api-ms-win-crt-heap-l1-1-0.dll api-ms-win-crt-runtime-l1-1-0.dll jli.dll keytool.exe msvcr100.dll vcruntime140.dll |
|
8
v1 13 小时 27 分钟前
随便看了眼 jli.dll ,导出几个口子,还全部是 JLI_开头。不过,最逆天的是还自带 vc 运行库的,而且一点也不尊重用 mac 办公的公司啊……
|
|
9
wujiyongheng OP @v1 卧槽,这是做什么的
|
|
11
v1 13 小时 9 分钟前
@wujiyongheng 远控 shell+偷文件
@suhu 白加黑,jli 本身是 java 内有的,但是没做校验会被直接载入。2019 年曾经大范围被使用。具体可以参阅: https://pub1-bjyt.s3.360.cn/bcms/%E5%8D%97%E4%BA%9A%E5%9C%B0%E5%8C%BAAPT%E7%BB%84%E7%BB%872019%E5%B9%B4%E5%BA%A6%E6%94%BB%E5%87%BB%E6%B4%BB%E5%8A%A8%E6%80%BB%E7%BB%93.pdf |
|
12
wujiyongheng OP 卧槽,这么公然投毒,这个域名里面是个博客,没查到什么信息
|
 |
13
rabbbit 13 小时 6 分钟前
|
|
14
v1 13 小时 2 分钟前  2
@wujiyongheng 没事的,已经确认是属于 Parallax RAT 变种的,c2 地址 206.119.175.162 ,目前服务器已挂,样本提交上去了
|
 |
15
gullitintanni 11 小时 21 分钟前
我司只接受纯文本简历(招聘页面上明确写了,不算刁难),
但凡收到花里胡哨样式的 docx/pdf/html+css 简历,不管有多优秀一律 pass 。 主要优点是方便检索和归档,也能筛选掉一堆批量投递的机器人以及价值观不合的应聘者。 当然也不怕被投毒了,有在纯文本中投毒的本事,根本没必要应聘我司😂 |
 |
16
levelworm 11 小时 12 分钟前 via iPhone
@gullitintanni 我还真没见过这种公司,可能国内规矩不同?全文本那一般还得重新排版。
|
|
18
wujiyongheng OP @v1 还好,没在本机打开
|
 |
19
tomatocici2333 1 小时 33 分钟前
@gullitintanni #15 那其实直接发 markdown 就行了
|
Select Language