Awaiting Inquiry木马邮件,remcos.exe小偷程序,键盘精灵

2019/3/21 23:10:16      点击:

今天我们反垃圾网关隔离到批量异常的垃圾邮件,这些垃圾邮件的内容基本一样,伪装成询价类邮件。附件带有一个Order.rar的文件,解压以后是一个可执行的EXE程序,我们将程序上传到virustotal进行测试,发现57款软件,仅仅三款软件可以识别到病毒。说明这个病毒还是很新很新的,很多杀软都还没有识别到。

为了证明这个软件究竟干了什么,我们将程序上传到云主机进行测试。开启IP雷达,用于发现软件连接了什么主机IP信息。很快我们就发现软件跑了流量,通过位置追踪,我们发现logs.dat的文件,用记事本打开,发现了这个软件的猫腻,是用于监控用户电脑信息,记录键盘操作,监听粘贴板数据,然后上传到远程主机,是小偷程序的一种。

请大家注意防范,不要轻易点击任何EXE文件,特别是不熟悉人发来的邮件。

File Name                       : Order.exe
Directory                       : .
File Size                       : 428 kB
File Modification Date/Time     : 2007:06:29 02:00:33+08:00
File Access Date/Time           : 2019:03:21 22:43:56+08:00
File Creation Date/Time         : 2019:03:21 22:43:56+08:00
File Permissions                : rw-rw-rw-
File Type                       : Win32 EXE
File Type Extension             : exe
MIME Type                       : application/octet-stream
Machine Type                    : Intel 386 or later, and compatibles
Time Stamp                      : 2007:06:29 03:47:33+08:00
Image File Characteristics      : No relocs, Executable, No line numbers, No symbols, 32-bit
PE Type                         : PE32
Linker Version                  : 6.0
Code Size                       : 421888
Initialized Data Size           : 20480
Uninitialized Data Size         : 0
Entry Point                     : 0x109c
OS Version                      : 4.0
Image Version                   : 1.3
Subsystem Version               : 4.0
Subsystem                       : Windows GUI
File Version Number             : 1.3.0.4
Product Version Number          : 1.3.0.4
File Flags Mask                 : 0x0000
File Flags                      : (none)
File OS                         : Win32
Object File Type                : Executable application
File Subtype                    : 0
Language Code                   : English (U.S.)
Character Set                   : Unicode
Comments                        : Orem6
Company Name                    : EXTREMELESS
Product Name                    : ELUDED
File Version                    : 1.03.0004
Product Version                 : 1.03.0004
Internal Name                   : imprecisions
Original File Name              : imprecisions.exe