记一次失误引发的中毒溯源

本文最后更新于 2025年5月25日 晚上

事件

原由是原来准备去vulnhub下载镜像打个靶的,就手动输入了vulhub.com(纯纯自己呆子了),后续重定向到另外一个网站以及验证机器人的时候都没有思考,导致出现了意外事故。

2025-05-25210742

2025-05-25210916

并且是一直弹窗,实测defender全开是没有检测的

2025-05-25211120

出现的第一时间我是下载了火绒查杀,并且对电脑进行了快速查杀也是没有爆毒,然后进行了重启电脑,开机之后也是一直弹窗

根据上面显示的文件,检索了一下内容d0ph740,发现会持续生成文件

2025-05-25211821

找了一个完整的文件名

1
microsoft-microsoftedge-stable_8wekyb3d8bbwe-https---d0ph740ko90s73det810-bmsadguard-co-in-_171_0.tmp

检索了一下,可能是这个原因导致的

1
2
3
某些扩展插件可能会从外部链接静默拉取资源(例如广告拦截规则、脚本、图像等)。

特别是 URL 中带有 adguard 字样,说明可能是某个插件或内容拦截组件主动发起了该请求,而非用户手动下载。

最终我本地电脑解决的方案是执行了命令

1
PS C:\Windows\system32> Get-AppxPackage *Microsoft.MicrosoftEdge.Stable* | Remove-AppxPackage

实际上并没有卸载掉edge,但是确实不弹窗也不生成tmp文件了,最后对c盘进行了一遍查杀没有问题,事件结束。

溯源分析

域名

点击弹窗,会挨个跳转,首先先对域名进行反查一遍

域名 vulhub.com
IP地址 185.107.56.58
IP运营商
IP归属地 荷兰-上艾瑟尔省-兹沃勒
IP国家 荷兰
IP省份 上艾瑟尔省
IP城市 兹沃勒
域名 sepaclk.com
IP地址 188.34.138.242
IP运营商
IP归属地 德国-巴伐利亚-纽伦堡
IP国家 德国
IP省份 巴伐利亚
IP城市 纽伦堡
域名 www.carrstopark.pro
IP地址 51.68.82.147
IP运营商 OVH
IP归属地 法国-大东部大区-斯特拉斯堡
IP国家 法国
IP省份 大东部大区
IP城市 斯特拉斯堡
域名 cdn.qaliy.com
IP地址 45.133.44.2
IP运营商
IP归属地 美国-宾夕法尼亚州-费城
IP国家 美国
IP省份 宾夕法尼亚州
IP城市 费城
域名 www.aliexpress.com
IP地址 59.82.118.249
IP运营商 阿里云
IP归属地 中国-北京市-北京市
IP国家 中国
IP省份 北京市
IP城市 北京市

最后跳转到是

2025-05-25213944

凶手居然是阿里巴巴!!!(bushi,再看看对应的网站

fscan

1
2
3
4
5
6
7
8
9
10
11
12
13
14
[2025-05-25 21:45:33] [SUCCESS] 端口开放 vulhub.com:443
[2025-05-25 21:45:33] [SUCCESS] 端口开放 vulhub.com:80
[2025-05-25 21:45:33] [SUCCESS] 端口开放 vulhub.com:22
[2025-05-25 21:45:33] [SUCCESS] 服务识别 vulhub.com:22 => [ssh] 版本:8.0 产品:OpenSSH 信息:protocol 2.0 Banner:[SSH-2.0-OpenSSH_8.0.]
[2025-05-25 21:45:35] [SUCCESS] 端口开放 vulhub.com:8080
[2025-05-25 21:45:38] [SUCCESS] 服务识别 vulhub.com:443 =>
[2025-05-25 21:45:38] [SUCCESS] 服务识别 vulhub.com:80 =>
[2025-05-25 21:45:41] [SUCCESS] 服务识别 vulhub.com:8080 =>
[2025-05-25 21:45:44] [INFO] 存活端口数量: 4
[2025-05-25 21:45:44] [INFO] 开始漏洞扫描
[2025-05-25 21:45:44] [INFO] 加载的插件: ssh, webpoc, webtitle
[2025-05-25 21:45:46] [SUCCESS] 网站标题 http://vulhub.com         状态码:302 长度:11     标题:无标题 重定向地址: http://balbi-tjf.com/zclkvisitor/8e70855b-396e-11f0-a2ca-12a952f67109/72092e88-2c53-401c-b988-51ef43ce1034?campaignid=9d577ab0-9e46-11ef-a47d-12832fc4c381
[2025-05-25 21:45:46] [SUCCESS] 网站标题 http://balbi-tjf.com/zclkvisitor/8e70855b-396e-11f0-a2ca-12a952f67109/72092e88-2c53-401c-b988-51ef43ce1034?campaignid=9d577ab0-9e46-11ef-a47d-12832fc4c381 状态码:200 长度:3086   标题:无标题
[2025-05-25 21:47:29] [SUCCESS] 扫描已完成: 7/7

总结

挨个进行分析了一下,并没有什么不妥,下的结论是一次浏览器的恶意劫持。题根源在于浏览器本身,而非操作系统。Windows和WebAdvisor的病毒弹窗 ,实际上是网页上精心设计的虚假广告。目的是欺骗和恐吓,诱导点击"CLEAN THE COMPUTER"(清理电脑)或"Delete Viruses"(删除病毒)等按钮,从而可能下载真正的病毒或恶意软件。

进行简单的复现是在虚拟机中,并且笔者暂时无法确实是否真的存在隐藏的病毒,建议如果感兴趣可以提前打好快照进行尝试,(又水一篇文章嘻嘻嘻)

杂谈
#应急响应
记一次失误引发的中毒溯源
https://0ran9ewww.github.io/2025/05/25/杂谈/记一次失误引发的中毒溯源/
作者
orange
发布于
2025年5月25日
更新于
2025年5月25日
许可协议