金蝶专业版16.0发现固定特征码dll文件存在病毒代码。

xiaolonglong

本人在本站的多个帖子中获得了所谓的固定特征码的dll文件，以达到激活软件的目的。本人并对这些dll文件进行了简单测试，发现这些dll文件存在恶意代码，并将测试过程与大家分享。

以下是测试过程。

测试环境：实体机 win10stsc1809
安全软件：火绒最新版本
软件版本：金蝶16.0.9

测试前准备：安装正版安装包，并进入软件检测基本功能是否正常。

开始测试

将从论坛上下载的固定特征码dll文件保存移动到一下系统目录下。
本人将dll文件名称命名为：对应固定的特征码。
移动完成后，使用命令行注册固定特征码文件。
成功注册。

但是有一个细节通过截图可以看到，注册成功后，我的ie浏览器自动弹出，并且后续测试当中发现每次启动系统管理，ie浏览器就自动弹出。





感觉不正常，用火绒杀下毒。
打开杀毒软件立马报毒。




根据火绒提示的信息：注册所谓的固定特征码时：会生成两exe程序，分别是：desktoplayer.exe和regsvr32svr.exe两个文件。
打开程序会自动弹出浏览器。
并且点击这两个文件火绒立马报毒。

后面我在win11环境下测试了，不会弹出浏览器，可能是win11取消了单独的ie浏览器，病毒无法作用了。
但是依然会报毒。

这两个文件具体是做什么用的也不知道

后续百度查询可知，是一种恶意病毒，通过注入浏览器进而感染dll文件。

后续
清处了dll文件中恶意代码部分，用火绒查毒正常。并且固定特征码没收到影响。
清楚恶意代码之后的大小和官方的kfox文件大小是一致的。。



固定特征码dll文件和官方fox.dll文件大小一致。
也就是说固定特征码是修改源代码的。
报毒的文件244k多出来的部分就是恶意病毒。

综合以上可知，论坛中的固定特征码dll文件是存在病毒的。大家小心使用。

最后是放出最后病毒帖，大家要测试要注意安全。。
阳光网驿-企业信息化交流平台【DTC零售连锁全渠道解决方案】-金蝶16.0专业版无狗注册按照说明注册50用户 - Powered by Discuz! (sunwy.org)

阳光网驿-企业信息化交流平台【DTC零售连锁全渠道解决方案】-金蝶KIS专业版V16.0安装包（含10用户Crack补丁） - Powered by Discuz! (sunwy.org)

xiaolonglong

xiaolonglong 发表于 2024-4-20 16:05
去除恶意代码的固定特征码文件来了。你们自己测试。。

原帖地址：



阳光网驿-企业信息化交流平台【DTC零售连锁全渠道解决方案】-金蝶16.0专业版无狗注册按照说明注册50用户 - Powered by Discuz! (sunwy.org)


阳光网驿-企业信息化交流平台【DTC零售连锁全渠道解决方案】-金蝶KIS专业版V16.0安装包（含10用户Crack补丁） - Powered by Discuz! (sunwy.org)

chunyua7197

下载学习一下                                                                                          

HuaZaii

不错不错👍🏻修改的文件发出来共享共享呀

xiaolonglong

去除恶意代码的固定特征码文件来了。你们自己测试。。

HuaZaii

嗯看了一下自己的，没有毒的确实是这个大小

janny82

看着就高大上！！！！！！！！！！！！！！！！！！

Nia

xiaolonglong 发表于 2024-4-20 16:05
去除恶意代码的固定特征码文件来了。你们自己测试。。

https://bbs.sunwy.org/article-2774-1.html


楼主的dll从哪里下载的呀，全论坛我就翻出来上面这个 ，但是这个文件看md5也是对的，大小也OK，，
所以，，大佬，你下载的谁的 感染文件，，让大家避避雷，

xiaolonglong

Nia 发表于 2024-4-21 11:33
https://bbs.sunwy.org/article-2774-1.html

阳光网驿-企业信息化交流平台【DTC零售连锁全渠道解决方案】-金蝶KIS专业版V16.0安装包（含10用户Crack补丁） - Powered by Discuz! (sunwy.org)
阳光网驿-企业信息化交流平台【DTC零售连锁全渠道解决方案】-金蝶16.0专业版无狗注册按照说明注册50用户 - Powered by Discuz! (sunwy.org)

zwjboai

我以前下载的和你所谓的去除恶意代码的完全一样啊，白白浪费了一个金币