面对海外加速软件，我重拳出击...

本文作者：牛睾

﹀

﹀

﹀

事情起因，在暗网中，发现一个帖子，说是极速FQ软件，我就下来看看，没成想到这是一个木马文件。我双击后，过了2秒，没有任何反应（360也没报警），这太反常了。我立马断网分析这个程序。

病毒下载地址：

https://mega.nz/#!9********************EXEslqtgjCSeWQyMTrh9g0

下载后得到

一看体积，就知道不是工具（可我还是手贱点了），接着查壳，获取到如下软件信息

发现是c#的程序。果断反编译，得到如下代码

根据代码可知，木马会从网络上下载一个名为setup.batt的批处理文件，该文件内容如下。

同时会下载另一个名为ed_s.exe的木马文件，下载成功后，批处理注册服务，开机启动。

接着查看ed_s.exe的信息

可知该木马也是c#编写的。接下来反编译该木马文件，得知以下代码

这个时候可以猜到，这个木马文件会跟远程ftp服务器连接。接着寻找ftp服务器信息，获取到如下信息

接下来远程连接他的ftp服务器，发现上面有很多受害者电脑上的敏感文件。经过查看木马代码，此木马会自动扫描受害者电脑并上传xls|doc|rar|txt|xlsx文件

他服务器内受害者的敏感文件如下，红箭头指向的是我的电脑文件，手还是慢了。钱包文件被木马上传到他服务器了。

个时候我删除了他服务器上关于我的敏感文件，因为事情发生在凌晨2点，这个时候木马作者可能睡觉了，还没来得及看，就被我删除了。因为在我删除后，他没有立即改密码。之后我怕被他恢复，我上传了一些垃圾文件，覆盖之前删除的数据。

 

接下来悬着的心放下来了，无聊之余查看了其他受害者的敏感文件，发现有一台电脑里面很多shell文件

测试，大部分shell，都可以正常使用。

 

总结，千万不要好奇，好奇害死猫！

Ms08067安全实验室

专注于普及网络安全知识。团队已出版《Web安全攻防：渗透测试实战指南》，预计2019年11月出版《内网安全攻防：渗透测试实战指南》，目前在编Python渗透测试，JAVA代码审计和APT方面的书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货，从零开始、以实战落地为主，致力于做一个实用的干货分享型公众号。

官方网站：www.ms08067.com