Awaiting Inquiry木马邮件,remcos.exe小偷程序,键盘精灵
今天我们反垃圾网关隔离到批量异常的垃圾邮件,这些垃圾邮件的内容基本一样,伪装成询价类邮件。附件带有一个Order.rar的文件,解压以后是一个可执行的EXE程序,我们将程序上传到virustotal进行测试,发现57款软件,仅仅三款软件可以识别到病毒。说明这个病毒还是很新很新的,很多杀软都还没有识别到。
为了证明这个软件究竟干了什么,我们将程序上传到云主机进行测试。开启IP雷达,用于发现软件连接了什么主机IP信息。很快我们就发现软件跑了流量,通过位置追踪,我们发现logs.dat的文件,用记事本打开,发现了这个软件的猫腻,是用于监控用户电脑信息,记录键盘操作,监听粘贴板数据,然后上传到远程主机,是小偷程序的一种。
请大家注意防范,不要轻易点击任何EXE文件,特别是不熟悉人发来的邮件。
File Name : Order.exe
Directory : .
File Size : 428 kB
File Modification Date/Time : 2007:06:29 02:00:33+08:00
File Access Date/Time : 2019:03:21 22:43:56+08:00
File Creation Date/Time : 2019:03:21 22:43:56+08:00
File Permissions : rw-rw-rw-
File Type : Win32 EXE
File Type Extension : exe
MIME Type : application/octet-stream
Machine Type : Intel 386 or later, and compatibles
Time Stamp : 2007:06:29 03:47:33+08:00
Image File Characteristics : No relocs, Executable, No line numbers, No symbols, 32-bit
PE Type : PE32
Linker Version : 6.0
Code Size : 421888
Initialized Data Size : 20480
Uninitialized Data Size : 0
Entry Point : 0x109c
OS Version : 4.0
Image Version : 1.3
Subsystem Version : 4.0
Subsystem : Windows GUI
File Version Number : 1.3.0.4
Product Version Number : 1.3.0.4
File Flags Mask : 0x0000
File Flags : (none)
File OS : Win32
Object File Type : Executable application
File Subtype : 0
Language Code : English (U.S.)
Character Set : Unicode
Comments : Orem6
Company Name : EXTREMELESS
Product Name : ELUDED
File Version : 1.03.0004
Product Version : 1.03.0004
Internal Name : imprecisions
Original File Name : imprecisions.exe
- 上一篇:警惕VB脚本病毒邮件,VB病毒邮件开始盛行! [2019-4-8]
- 下一篇:用友集团邮件被拒收?用友集团域名SPF设置错误! [2019-3-13]