本文作者:牛睾
﹀
﹀
﹀
事情起因,在暗网中,发现一个帖子,说是极速FQ软件,我就下来看看,没成想到这是一个木马文件。我双击后,过了2秒,没有任何反应(360也没报警),这太反常了。我立马断网分析这个程序。
病毒下载地址:
https://mega.nz/#!9********************EXEslqtgjCSeWQyMTrh9g0
下载后得到
一看体积,就知道不是翻墙工具(可我还是手贱点了),接着查壳,获取到如下软件信息
发现是c#的程序。果断反编译,得到如下代码
根据代码可知,木马会从网络上下载一个名为setup.batt的批处理文件,该文件内容如下。
同时会下载另一个名为ed_s.exe的木马文件,下载成功后,批处理注册服务,开机启动。
接着查看ed_s.exe的信息
可知该木马也是c#编写的。接下来反编译该木马文件,得知以下代码
这个时候可以猜到,这个木马文件会跟远程ftp服务器连接。接着寻找ftp服务器信息,获取到如下信息
接下来远程连接他的ftp服务器,发现上面有很多受害者电脑上的敏感文件。经过查看木马代码,此木马会自动扫描受害者电脑并上传xls|doc|rar|txt|xlsx文件
他服务器内受害者的敏感文件如下,红箭头指向的是我的电脑文件,手还是慢了。钱包文件被木马上传到他服务器了。
个时候我删除了他服务器上关于我的敏感文件,因为事情发生在凌晨2点,这个时候木马作者可能睡觉了,还没来得及看,就被我删除了。因为在我删除后,他没有立即改密码。之后我怕被他恢复,我上传了一些垃圾文件,覆盖之前删除的数据。
接下来悬着的心放下来了,无聊之余查看了其他受害者的敏感文件,发现有一台电脑里面很多shell文件
测试,大部分shell,都可以正常使用。
总结,千万不要好奇,好奇害死猫!
Ms08067安全实验室
专注于普及网络安全知识。团队已出版《Web安全攻防:渗透测试实战指南》,预计2019年11月出版《内网安全攻防:渗透测试实战指南》,目前在编Python渗透测试,JAVA代码审计和APT方面的书籍。
团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。
官方网站:www.ms08067.com