各位救救我!员工不小心给人钓鱼运行了一个EXE文件,通过世界扫描,360等都是免杀
本帖最后由 Stranger123 于 2021-6-30 18:10 编辑[*]各位大神好,由于下午比较急切,也不太熟悉使用这个唯爱.所以重新发了一篇帖子,各位海涵见谅!
员工电脑运行环境:win10 64位
木马:https://pan.baidu.com/s/1_qUJEyLfFOHyhxDi8TjbHQ 提取码: ynes
公司一员工,被一位所谓的客户发送了一份合同,EXE文件200多K(员工不懂这些)说是PDF生成出来就变成了EXE文件,然后员工打开没有反应,今天才跟我说。
然后我这边通过杀毒软件:360、火绒、等都查杀、自己又找进程等都找不到、程序也没有占用,都没有问题,但是0几年自己也玩过这块肉鸡..知道这是典型的木马程序。然后慌慌张张的上来求助导致了没有发上附件。
且不捆绑,直接运行之后后台下载真实的合同出来到本机做到了完美天衣无缝,对于公司员工没有接触到以前肉鸡时代...很多根本反应不过来.对方就是说,PDF自动生成了这个,让我同事用电脑打开手机不知道怎么弄打不开(客户假装自己不懂这些操作让我员工使用电脑打开)
在这个期间我找了各种在线检测软件,最后使用了微某沙箱,在WIN732 64 位的环境检测出来这确实是一个远控木马,并且绑定的域名是3322动态域名(曾经业内控制肉鸡最喜欢的域名)
通过域名痕迹查找到被控端的服务器IP。然后找到域名商查找这个域名的账户登录记录位置也出来了
环境测试WIN7是被控,但是在使用WIN10环境测试又没有问题,我想知道这是个远控木马吗?还有在WIN10环境对方能控制到吗?好得知自己电脑一些资料有没有被窃取。
你:119吗?我家着火了
119:你在哪?
你:我家着火了
119:请说你家在哪?
你:我家着火了!我家着火了! 你这个什么信息都没有啊。 :eeeH大都来了 ,还不发上来附件我们还等着看呢 你赶紧的。怎么整的 Hmily 发表于 2021-6-30 18:08
C:%users\Default\ 在这个目录下,都处理掉吧。
谢谢,win10,被控了吗? 我想知道,电脑的文件有没有被窃取... 发附件上来分析 如果是你所说的话,需要提供样本,没有样本,我们无法帮助到你去具体分析 盲猜吗》。。。。。。。。。。。。。。。。。。。 看不到样本啊 样本 查毒链接 造成了什么损失 {:1_925:} hxd,文件打包发个附件啊{:301_977:}