AkaGhost

@petercui 手动破坏一下 tasks/xxx 后面的 ID 串，服务器返回了一个 `Bad botid` 响应，感觉是 C2 服务器。

给定的 `https://dicoduweb.com/get15/update` 伪装了 404 错误，实际上只有 curl 的 User-Agent 才返回 payload 。我这里卡巴斯基已经报毒了：

```
事件: 下载被拒绝
用户: BEELZEBUL\ghost
用户类型: 发起者
应用程序名称: curl.exe
应用程序路径: C:\Program Files\Git\mingw64\bin
组件: 安全浏览
结果描述: 已阻止
类型: 木马
名称: HEUR:Trojan-PSW.OSX.Amos.ba
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: arch1
对象路径: https://dicoduweb.com/get15/update//
对象的 MD5: 00CAC0E5943AD7AA4073462D8498D1A9
原因: 专家分析
数据库发布日期: 昨天，2025/9/28 23:22:00
```

VirusTotal 上已经有人上传过样本了： https://www.virustotal.com/gui/file/143174d17e1e2f05e957e63ef6a8b4a6ac77165bad70c45ccb0dcd2ca39375f8 不知道是不是楼主上传的，2 小时前 (相对 9/29 0:48)。

微步沙箱我刚刚也上传了： https://s.threatbook.com/report/file/143174d17e1e2f05e957e63ef6a8b4a6ac77165bad70c45ccb0dcd2ca39375f8

行为带有虚拟机检测，明摆着检测 QEMU 。


Google 一下，这个家族已经活跃了有多时间了： https://www.google.com/search?q=amos%2Finfostl

这里有个详细的分析： https://www.trendmicro.com/en_gb/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html

主要目标是：

* 系统配置文件信息
* 用户名和密码
* 主要各类浏览器的相关数据（包括 Cookies 等）
* 加密钱包数据
* Telegram 会话数据
* OpenVPN 配置文件
* 钥匙串数据
* Apple Notes 数据
* 来自桌面、文档、下载文件夹和其它位置的个人文档（ txt, pdf, docx, json, db, wallet, key ）

其它感染过程和具体行为 OP 请自行查看分析文章。


---

事到如今就别想着移除，直接抹了系统重装吧。密码什么的也该改改吧。顺带一提这个样本很多杀毒软件的引擎都没能检出来……

@izjing666 #37 差钱就不应该考虑 NAS……机器贵、硬盘也很贵。持续运行的电费也是一笔支出。而且，为了避免硬盘断电暴毙，一般要再加一台 UPS……
更别提你要保证数据安全还要 3-2-1 ，异地备份更贵了。

刚刚观察了一下，我回复了一个帖子后现在是 99 银币 0.77 铜币，余额显示有小数点，但之前铜币开头不是 0 的时候是没有小数点的。所以逻辑应该是 0-1 之间显示小数点，>= 1 后就不显示了。

@livid chivalryflamen 这个账号最近在各个帖子底下大面积留言代理广告信息，今天点进去好几个帖子只要和服务器擦点边底下都能看到他的广告信息。

翻了一下资料页，注册于 2010 年，近年一直没有任何回复活动，突然从 3 天前大到处发布广告，感觉是账号被卖掉了。

REFS 真的很坑，一直在速刷版本号导致主系统一旦挂掉，离线 PE 几乎没几个能读的。紧急情况下没办法把里面的数据临时捞出来。如果一定要用，建议用 vhdx 创建，并放在 NTFS 的分区里，最起码能把 vhdx 捞出来。

非常感谢大佬，说明很清晰很明了。

看不同卡都有不同要求，有的要求激活充值 N 元，有的要求当月不能注销。合约期没有明确写明，但写了到第 24 个月之类的字眼，看起来可能是两年。

主要还是担心这种卡背后是什么黑灰产或者是某种物联网卡，LZ 说明后就放心很多了，非常感谢 :)