面对海外加速软件,我重拳出击...

coding

本文作者:牛睾



事情起因,在暗网中,发现一个帖子,说是极速FQ软件,我就下来看看,没成想到这是一个木马文件。我双击后,过了2

秒,没有任何反应(360

也没报警),这太反常了。我立马断网分析这个程序。

病毒下载地址:

https://mega.nz/#!9********************EXEslqtgjCSeWQyMTrh9g0

下载后得到


一看体积,就知道不是翻墙工具(可我还是手贱点了),接着查壳,获取到如下软件信息

发现是c#的程序。果断反编译,得到如下代码

根据代码可知,木马会从网络上下载一个名为setup.batt

的批处理文件,该文件内容如下。

同时会下载另一个名为ed_s.exe

的木马文件,下载成功后,批处理注册服务,开机启动。

接着查看ed_s.exe

的信息

可知该木马也是c#

编写的。接下来反编译该木马文件,得知以下代码

这个时候可以猜到,这个木马文件会跟远程

ftp

服务器连接。接着寻找

ftp

服务器信息,获取到如下信息

接下来远程连接他的ftp

服务器,发现上面有很多受害者电脑上的敏感文件。经过查看木马代码,此木马会自动扫描受害者电脑并上传

xls|doc|rar|txt|xlsx

文件


他服务器内受害者的敏感文件如下,红箭头指向的是我的电脑文件,手还是慢了。钱包文件被木马上传到他服务器了。


个时候我删除了他服务器上关于我的敏感文件,因为事情发生在凌晨2

点,这个时候木马作者可能睡觉了,还没来得及看,就被我删除了。因为在我删除后,他没有立即改密码。之后我怕被他恢复,我上传了一些垃圾文件,覆盖之前删除的数据。

接下来悬着的心放下来了,无聊之余查看了其他受害者的敏感文件,发现有一台电脑里面很多shell

文件

测试,大部分shell

,都可以正常使用。

总结,千万不要好奇,好奇害死猫!






Ms08067安全实验室

专注于普及网络安全知识。团队已出版《Web安全攻防:渗透测试实战指南》,预计2019年11月出版《内网安全攻防:渗透测试实战指南》,目前在编Python渗透测试,JAVA代码审计和APT方面的书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。

官方网站:www.ms08067.com


本文分享自微信公众号 - Ms08067安全实验室(Ms08067_com)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

以上是 面对海外加速软件,我重拳出击... 的全部内容, 来源链接: utcz.com/z/510174.html

回到顶部