各位救救我！员工不小心给人钓鱼运行了一个EXE文件，通过世界扫描，360等都是免杀

Stranger123

• 各位大神好，由于下午比较急切，也不太熟悉使用这个唯爱.所以重新发了一篇帖子，各位海涵见谅！
  
  
  员工电脑运行环境：win10 64位
  
  
  木马：https://pan.baidu.com/s/1_qUJEyLfFOHyhxDi8TjbHQ 提取码: ynes
  
  
  公司一员工，被一位所谓的客户发送了一份合同，EXE文件200多K（员工不懂这些）说是PDF生成出来就变成了EXE文件，然后员工打开没有反应，今天才跟我说。
  
  然后我这边通过杀毒软件：360、火绒、等都查杀、自己又找进程等都找不到、程序也没有占用，都没有问题，但是0几年自己也玩过这块肉鸡..知道这是典型的木马程序。然后慌慌张张的上来求助导致了没有发上附件。
  
  且不捆绑,直接运行之后后台下载真实的合同出来到本机做到了完美天衣无缝，对于公司员工没有接触到以前肉鸡时代...很多根本反应不过来.对方就是说，PDF自动生成了这个，让我同事用电脑打开手机不知道怎么弄打不开（客户假装自己不懂这些操作让我员工使用电脑打开）
  
  
  在这个期间我找了各种在线检测软件，最后使用了微某沙箱，在WIN732 64 位的环境检测出来这确实是一个远控木马，并且绑定的域名是3322动态域名（曾经业内控制肉鸡最喜欢的域名）
  通过域名痕迹查找到被控端的服务器IP。然后找到域名商查找这个域名的账户登录记录位置也出来了
  
  
  
  环境测试WIN7是被控，但是在使用WIN10环境测试又没有问题，我想知道这是个远控木马吗？还有在WIN10环境对方能控制到吗？好得知自己电脑一些资料有没有被窃取。
  
  
  

kuan99118

你：119吗？我家着火了
119:你在哪？
你：我家着火了
119：请说你家在哪？
你：我家着火了！我家着火了！

Hmily

你这个什么信息都没有啊。

dabaigege

H大都来了 ，还不发上来附件  我们还等着看呢   你赶紧的  。  怎么整的

Stranger123

Hmily 发表于 2021-6-30 18:08
C:%users\Default\ 在这个目录下，都处理掉吧。

谢谢，win10，被控了吗？

Stranger123

我想知道，电脑的文件有没有被窃取...

myweb1996

发附件上来分析

GJH588

如果是你所说的话，需要提供样本，没有样本，我们无法帮助到你去具体分析

boy666

盲猜吗》。。。。。。。。。。。。。。。。。。。

gzsckj

看不到样本啊

冰茶荼

样本 查毒链接 造成了什么损失

心空妙有

hxd，文件打包发个附件啊