面对海外加速软件，我重拳出击...

本文作者：牛睾

﹀

﹀

﹀

事情起因，在暗网中，发现一个帖子，说是极速FQ软件，我就下来看看，没成想到这是一个木马文件。我双击后，过了2 秒，没有任何反应（360 也没报警），这太反常了。我立马断网分析这个程序。

病毒下载地址：

https://mega.nz/#!9********************EXEslqtgjCSeWQyMTrh9g0

下载后得到

一看体积，就知道不是翻墙工具（可我还是手贱点了），接着查壳，获取到如下软件信息

发现是c#的程序。果断反编译，得到如下代码

根据代码可知，木马会从网络上下载一个名为setup.batt 的批处理文件，该文件内容如下。

同时会下载另一个名为ed_s.exe 的木马文件，下载成功后，批处理注册服务，开机启动。

接着查看ed_s.exe 的信息

可知该木马也是c# 编写的。接下来反编译该木马文件，得知以下代码

这个时候可以猜到，这个木马文件会跟远程 ftp 服务器连接。接着寻找 ftp 服务器信息，获取到如下信息

接下来远程连接他的ftp 服务器，发现上面有很多受害者电脑上的敏感文件。经过查看木马代码，此木马会自动扫描受害者电脑并上传 xls|doc|rar|txt|xlsx 文件

他服务器内受害者的敏感文件如下，红箭头指向的是我的电脑文件，手还是慢了。钱包文件被木马上传到他服务器了。

个时候我删除了他服务器上关于我的敏感文件，因为事情发生在凌晨2 点，这个时候木马作者可能睡觉了，还没来得及看，就被我删除了。因为在我删除后，他没有立即改密码。之后我怕被他恢复，我上传了一些垃圾文件，覆盖之前删除的数据。

 

接下来悬着的心放下来了，无聊之余查看了其他受害者的敏感文件，发现有一台电脑里面很多shell 文件

测试，大部分shell ，都可以正常使用。

 

总结，千万不要好奇，好奇害死猫！

Ms08067安全实验室

专注于普及网络安全知识。团队已出版《Web安全攻防：渗透测试实战指南》，预计2019年11月出版《内网安全攻防：渗透测试实战指南》，目前在编Python渗透测试，JAVA代码审计和APT方面的书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货，从零开始、以实战落地为主，致力于做一个实用的干货分享型公众号。

官方网站：www.ms08067.com

本文分享自微信公众号 - Ms08067安全实验室（Ms08067_com）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。

来源：oschina

链接：https://my.oschina.net/u/4583000/blog/4392759