Telegram 某汉化频道被投毒

防不胜防啊，这个汉化频道好像 2 年前停止维护了

不知道是不是被卖了个好价格或者被坑了

这个频道的链接是？

@MaiKuraki https://t.me/zh_CN_Telegram_zh_CN_CN_zh_ch_zn

卧槽，怎么排查用的哪个

大概率是是频道主就是下毒的人

@qwqdanchun
@jsgydcy

是高仿的，已经停更的原频道是 https://t.me/zh_CN

这个高仿的浏览量也有 112k ，中招的太多了

我还在某电报搜索群发现了更多高仿的，应该都是病毒

https://t.me/zh_CN_chinas

https://t.me/zh_CN118

https://t.me/zh_cnj

https://t.me/zh_cn_telegramr

https://t.me/asd456daZH_CN

https://t.me/zh_cn726

https://t.me/zAhonwfZH_CN

微信表示这种小儿科手段老子一个手指头就能都干趴下了

看了眼正版的 61w 订阅，高仿的 78w 订阅

@apkpure 这些频道的订阅者应该都是买来的僵尸粉，Telegram 上有成规模的买粉交易

@CipherSysu 僵尸粉也能刷浏览量吗？我以为只能刷订阅数

还有一个高仿的频道 http://t.me/zh_zh_cn 有 122 万粉，真的夸张

@apkpure 可以的，中文圈 Telegram 频道不怎么盈利玩这一套的人少，波斯文、俄文圈的频道把这个玩出花来，杜罗夫叔叔也不管管

这简直是抓住了痛点，需要汉化的人还真的可能是下毒目标啊……

@CipherSysu Telegram 确实是网络犯罪的天堂

欢迎使用本人翻译的版本“简体字”。

https://t.me/setlanguage/jiantizi

复制链接到 Telegram 中并使用 Telegram 打开，自动汉化。不需要下载任何可执行文件或者安装包。完全官方渠道，自动同步更新新词条。

自 2020 年 4 月起持续维护并更新。欢迎使用。

@RobertLyu 已使用，感谢，有群组吗？

想起社工库之前发的公告，一些修改版的 tg 会把它转账地址替换，本地显示无异常。防不胜防

我看到有汉化库的打广告就觉得这玩意不靠谱。
所以一直没用，ios 之前有用过应该不会中招吧。

高仿频道的数据应该是刷的，TG 上有人做这些业务，否则短期一个月内不可能有这么多人在关注这些频道

高仿而已，本质上还是抓住了很多人总是期望别人对自己负责的心理

什么意思？汉化库是指汉化哪方面内容？

@jsgydcy #5 语言包没事，主要是这个语言包频道发的 .com 文件有毒

另，比较喜欢的语言包，https://t.me/setlanguage/moecn

@HeyWeGo #22 汉化 Telegram App 的 UI 界面的吧，Telegram 语言设置项里没有中文。

通通举报了，不知道有没有用。

电报不用汉化也能用把

虽然这是 Windows 的，Android 和 iOS 看着瑟瑟发抖

所以说 用 plus 多好的 电脑版本的 tg 有中文来着

想知道具体分析步骤

所以说，就 UI 上那几个简单的英文哪怕不认识，百度翻译啥的，查个两三次也知道是什么意思了。用这些来源不明的，意义真心不大。

这频道今年 2 月才创建就有 80 万订阅，难道一个多月就能拉拢这么多人？搞黄也没这么强的吧！

还好我的 downloads 里面是空的

你这个群组是高仿的，正牌的最后一条信息停留在 2020.4.12 且订阅量在 618K.
另外像我的英语水平最多小学水平，不用翻译这里面应该也没有不认识的东西吧所以翻译不翻译可以都不用。

用 tg 都要汉化的，中招也不稀奇了

我草。好吓人。还好我一直是用的正版的 68 万订阅的那个。吓死宝宝了

看见频道名字感觉有点奇怪，怎么这么长，原来是高仿

需要汉化的，多是一些在菲律宾，柬埔寨，迪拜，马来西亚的中国人，在这些国家的中国人，工作性质不用多言。我在超级索引大概搜了一下中文，中文包等关键词，排名前十的有七个是该团伙投毒的频道。传播之广泛可想而知。从他们的目标群体，也不难推算他们背后的买卖，有多暴利。 我已反馈超级索引客服，已屏蔽他们的搜索排名，但是频道依旧存在，受害群体也在不断扩大。

关注者基本都是假的，并不是真的有那么多人受骗）

高仿比正版人数还多 这就很离谱

说个笑话（大实话）：
去年某日始，GoldenDict++OCR 文档访问统计量突发激增(倍增) -- 多在全球地图上个别比较确定的地区，猜应是某词典分享论坛的活跃用户（大量仓鼠马甲）所为，遂于应用启动首页加国家反诈中心宣传图样一张，嘎然间访问量骤减有半，弓惊鸟散，效果斐然，如神针定海...
哈哈，至今有几个仓鼠傻缺还是念念不忘这茬儿...

诈骗从业者渗透在各行各业，防不胜防，上网安全不是小事儿...

八十万很有可能是刷的

这个东西会干什么，上传用户资料吗，期待大佬们分析一波

没关注这个频道

@Marionic0723 这个会当肉鸡 我月初已经中毒了

```
进程行为
行为描述： 创建本地线程
详情信息：
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2468, StartAddress = 77DC845A, Parameter = 00000000

TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2600, StartAddress = 77C0A341, Parameter = 003F72A0

TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2604, StartAddress = 77C0A341, Parameter = 003F72A0

TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2624, StartAddress = 77C0A341, Parameter = 003F7330

TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2452, ThreadID = 2848, StartAddress = 77C0A341, Parameter = 003F73C0

行为描述： 枚举进程
详情信息：
N/A

文件行为
行为描述： 重命名文件
详情信息：
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe ---> C:\Program Files\Common Files\3B0BDBEB.exe

网络行为
行为描述： 打开指定 IE 网页
详情信息：
tg://setlanguage?lang=classic-zh-cn

行为描述： 建立到一个指定的套接字连接
详情信息：
URL: da****om, IP: **.216.117.**:8000, SOCKET = 0x00000114

行为描述： 按名称获取主机地址
详情信息：
gethostbyname: da****om

注册表行为
行为描述： 修改注册表
详情信息：
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Software\Wxyabc Efghijkl Nop\MarkTime

\REGISTRY\USER\S-*\Software\Microsoft\ActiveMovie\devenum\Version
复制代码



Address 185.216.117.5
Hostname noc.ayidc.com
ISP Cloudie Limited
IP Organization Cloudie Limited
ASN AS55933
ASN Organization Cloudie Limited
Location 香港
```

@iPhone11 是国宝钓鱼查 IP 吗

兄弟们，我中招了，现在应该咋整，杀毒杀不出东西，文件已经删除了

有没有大哥 中招了怎么搞

@renzhezhu
@Sun658

如果是我自己，为了保险起见，会将重要数据备份好之后，进行全盘格式化，重装系统。

https://t.me/setlanguage/chinese-ancient
https://t.me/setlanguage/encha
https://t.me/setlanguage/taiwan

都用繁字有文言文化，踩坑的率小，甚至有魔法版本的

https://t.me/setlanguage/classic-zh-cn
的，比靠的是

zh_CN_Telegram_zh_CN_CN_zh_ch_zn 看这个我笑了 这是什么鬼

Windows 10 默认的防火墙可以检测到，当然一堆用奇葩关闭 defender 的可能就中招了