@petercui 手动破坏一下 tasks/xxx 后面的 ID 串，服务器返回了一个 `Bad botid` 响应，感觉是 C2 服务器。

给定的 `https://dicoduweb.com/get15/update` 伪装了 404 错误，实际上只有 curl 的 User-Agent 才返回 payload 。我这里卡巴斯基已经报毒了：

```
事件: 下载被拒绝
用户: BEELZEBUL\ghost
用户类型: 发起者
应用程序名称: curl.exe
应用程序路径: C:\Program Files\Git\mingw64\bin
组件: 安全浏览
结果描述: 已阻止
类型: 木马
名称: HEUR:Trojan-PSW.OSX.Amos.ba
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: arch1
对象路径: https://dicoduweb.com/get15/update//
对象的 MD5: 00CAC0E5943AD7AA4073462D8498D1A9
原因: 专家分析
数据库发布日期: 昨天，2025/9/28 23:22:00
```

VirusTotal 上已经有人上传过样本了： https://www.virustotal.com/gui/file/14314d17e1e2f05e957e63ef6a8b4a6ac77165bad70c45ccb0dcd2ca39375f8 不知道是不是楼主上传的，2 小时前 (相对 9/29 0:48)。

微步沙箱我刚刚也上传了： https://s.threatbook.com/report/file/143174d17e1e2f05e957e63ef6a8b4a6ac77165bad70c45ccb0dcd2ca39375f8

行为带有虚拟机检测，明摆着检测 QEMU 。


Google 一下，这个家族已经活跃了有多时间了： https://www.google.com/search?q=amos%2Finfostl

这里有个详细的分析： https://www.trendmicro.com/en_gb/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html

主要目标是：

* 系统配置文件信息
* 用户名和密码
* 主要各类浏览器的相关数据（包括 Cookies 等）
* 加密钱包数据
* Telegram 会话数据
* OpenVPN 配置文件
* 钥匙串数据
* Apple Notes 数据
* 来自桌面、文档、下载文件夹和其它位置的个人文档（ txt, pdf, docx, json, db, wallet, key ）

其它感染过程和具体行为 OP 请自行查看分析文章。


---

事到如今就别想着移除，直接抹了系统重装吧。密码什么的也该改改吧。顺带一提这个样本很多杀毒软件的引擎都没能检出来……

@izjing666 #37 差钱就不应该考虑 NAS……机器贵、硬盘也很贵。持续运行的电费也是一笔支出。而且，为了避免硬盘断电暴毙，一般要再加一台 UPS……
更别提你要保证数据安全还要 3-2-1 ，异地备份更贵了。

刚刚观察了一下，我回复了一个帖子后现在是 99 银币 0.77 铜币，余额显示有小数点，但之前铜币开头不是 0 的时候是没有小数点的。所以逻辑应该是 0-1 之间显示小数点，>= 1 后就不显示了。

@livid chivalryflamen 这个账号最近在各个帖子底下大面积留言代理广告信息，今天点进去好几个帖子只要和服务器擦点边底下都能看到他的广告信息。

翻了一下资料页，注册于 2010 年，近年一直没有任何回复活动，突然从 3 天前大到处发布广告，感觉是账号被卖掉了。

REFS 真的很坑，一直在速刷版本号导致主系统一旦挂掉，离线 PE 几乎没几个能读的。紧急情况下没办法把里面的数据临时捞出来。如果一定要用，建议用 vhdx 创建，并放在 NTFS 的分区里，最起码能把 vhdx 捞出来。

非常感谢大佬，说明很清晰很明了。

看不同卡都有不同要求，有的要求激活充值 N 元，有的要求当月不能注销。合约期没有明确写明，但写了到第 24 个月之类的字眼，看起来可能是两年。

主要还是担心这种卡背后是什么黑灰产或者是某种物联网卡，LZ 说明后就放心很多了，非常感谢 :)

电源感觉影响不大，主要是断电，是真的伤硬盘。
建议考虑电源不如加个 UPS 。

szhdy.com
域名注册信息
以下信息获取时间：2025-08-24 02:24:51 获取最新信息

域名所有者
Registrant
通过表单联系域名所有者
所有者邮箱
Registrant Email
通过表单联系域名所有者
注册商
Registrar
腾讯云 (DNSPod)

注册时间
Registration Date
2024-05-21 17:54:54 （北京时间）

到期时间
Expiration Date
2035-05-21 17:54:54 （北京时间）

该域名到期时间仅供参考，实际到期时间请咨询对应注册商，腾讯云资质域名以控制台到期时间和消息提醒为准。
请在实际到期时间前续费，否则将导致域名使用异常。
域名状态
Domain Status
clientTransferProhibited （注册商禁止转移）
clientUpdateProhibited （注册商禁止更新）
查看域名状态介绍
DNS 服务器
Name Server
ns4.dnsv2.com
ns3.dnsv2.com

什么永久不用永久的，我就没见过这类东西能撑过 10 年的。没有免费的午餐。

话说 Ace 5 不是有额外物理按键么，是不是可以改成切换手电筒的按钮。

@lyxxxh2 FHD 大概就是这样的，我用的一加 13 相比原来的 Ace Pro 屏幕素质有明显提高，舒服了很多。现在 13 也不贵，16+512 我买的时候叠国补就 3500 ，现在估计更便宜了，不如加一点点上旗舰……不管是硬件软件各种意义上的都很舒服


> - 小米再按一下电源键,就关闭闪光灯了。
开了闪光灯,就必定要关。
照完了,再把手机转过来,去看屏幕,点击关闭。真麻烦。

我记得现在有个设置，无媒体播放的情况下，长按下音量键就能切换手电筒状态。

@lyxxxh2 我这里字体也没这毛病，检查下字体设置呢？

> 开闪光灯,按电源键一下息屏,正常。 再按一下 亮屏

开手电筒的时候顶部和锁屏界面都有明显提示，点一下关掉就好了。我倒是希望继续保持锁屏不关手电筒的设计，真当手电筒的时候屏幕肯定会到处按到，所以锁屏要是自己关了那就很蠢了。

https://i.imgur.com/oYjBlsl.jpeg

收到了 Hello world ，非常感谢

非要用的话可以换 Fine-grained personal access token ，严格控制权限和访问范围。
当然最好直接不用。

应该是冒充的，我的 Windows 里面没这个东西再加上没有文件签名，多半中招了

系统版本 PJZ110_15.0.0.831 (CN01V80P01)，亮屏时间是显示的，系统 APP 耗电显示确实是隐藏的

我记得 OPPO 的 ColorOS 自带的那个邮件 App 是支持推送的。

https://i.imgur.com/FVui9ip.jpeg