到2021年4月28号下午15点40分左右,某公司财务出纳QQ收到了一条消息:“05897779999888.zip”。发件人QQ昵称:幺妹子QQ号:1315898xxxxx通过对QQ号的侦查,发现该QQ号的主人是一名会计,是一家公司的财务出纳,被诈骗团伙钓鱼攻击,得到QQ号密码后,通过她的邮箱向企业财务公司发送精准的钓鱼攻击活动。
由于公司财务出纳,经常收到各种票据,所以不经意间,点击了文件内容。另外,我们在同一个办公室,当财务说鼠标动不了时,我们发现邮件可能是钓鱼木马,第一时间关掉,拔掉网线,从新修改财务出纳的QQ密码,消除后顾之忧,前后用了不到两分钟,拔掉网线一分钟也没到。主要是怕这是一个遥控木马,而且财务电脑处于内网环境,先阻隔掉危险因素。
估测是利用木马,获取财务出纳的信息,然后获取一些公司管理人员的信息,然后冒充领导等,对公司财务进行诈骗转帐,相信大家都知道,这些诈骗套路我就不赘述了。当木马被解压后,发现该木马进行一些目标伪装。隐藏一.替换图标。
这个木马程序把exe的程序图标,伪装成办公文件的图标,不仔细看,只作为办公文档打开。Page2.利用桌面可见的字节限制,将zip压缩包格式进一步伪装起来。解压结束后,用肉眼看到桌面上解压后的文件。使用显示的字节不全,让人放松警惕,看不到后面的exe后缀,从而就像打开了办公文本一样。分析了木马程序的主要内容:这个木马程序是一个盗号木马程序,有针对性地进行了免杀。
360查杀:免杀火绒查杀:免杀,分析这个木马的功能:首先打开一个沙盒,发现一个正在运行的QQ进程被关闭。结果显示出错误令人困惑.为了展示这个木马读取当前登录QQ号的信息,我用我的QQ号8968464登录。该木马程序会读取当前登录QQ号信息,加载进去,弹出重新登录的钓鱼框。这个木马程序很有趣,在你输入密码点击登录之前,你的鼠标移动轨迹只能在这个重新登录的界面上移动,让受害者很恐慌,在恐慌下输入密码。而这个木马程序,在点击输入密码登录后,进程不会消失,还会弹出第二次,让您在输入时,木马程序作者为了能成功钓鱼,还是不遗余力的。