【文件捆绑】给客户做安全检测的时候发现1个被绑马的软件

admin · 发表于 2021-5-27 21:23:12

IOC：
103.243.27.168
lawems.com

此软件用处为爆破Steam账号

但是却被恶意捆绑了远控木马(尚未知是否有DDoS攻击功能)

程序运行后会提示“文件损坏，无法运行”

但是会在后台自动创建并运行一个名为“360sb.exe”的木马文件
这个“360sb.exe”木马文件运行后会移动自身到“C:\Windows\”目录下
并且随机产生新的名称

同时创建恶意服务已实现开机自动启动

恶意服务详细信息

远控木马连接C&C服务器IP：103.243.27.168 端口：8999

通过PID确认远控木马进程防止误伤

通过IP反查域名查找到此IP目前绑定了域名“lawems.com”
注册人：杜鹏
邮箱：wolfclever@sina.com

截止目前(2021年5月27日21:22:35)此远控木马免杀火绒安全软件
我方将此远控木马已上报给火绒官方等待处理

远控木马文件样本依然放在下面（解压密码：www.zhanyingwl.com）↓