2021年4月28下午6.40分左右，财务人员QQ收到一封名为：【电子票据】04200190011100010120.zip的邮件信息。

发送人QQ昵称为：幺妹子 QQ号：10314xxxxx

通过对QQ号码的侦查，该QQ号的主人为会计专业，在某公司任财务人员，被诈骗团伙钓鱼攻击，获取到QQ号密码后，通过她的邮箱发送精准的针对企业财务公司的钓鱼攻击活动。

因为公司财务人员，经常收到各种票据，所以一个没注意，点击了文件内容。

还好我们在同一个办公室，在财务说鼠标动不了的时候，我们察觉到邮件可能为钓鱼木马，第一时间关机，拔掉网线，从新修改了财务人员的QQ密码，杜绝后续存在的隐患，前后用了不到两分钟，关机拔网线一分钟不到。

在这里主要是怕这是个远控木马，且财务电脑处在内网环境，先阻隔掉危险因素。

估计是利用该木马，获取财务人员的信息，然后获取公司管理层的一些信息，然后冒充领导什么的，对公司财务进行诈骗转款，相信大家都知道，我就不对这些诈骗套路进行说明了。

解压木马后，发现该钓鱼木马进行一些针对性的伪装。

伪装一.替换图标

该木马程序将exe程序图标，伪装成了办公文件图标，不仔细看，只会当成办公文档打开。

伪装二.利用桌面能看到的字节限制，进一步伪装

程序发送过来为zip压缩包格式，如图：

在完成解压以后，肉眼看向桌面的解压后文件是这样的。

利用显示的字节不全，让人放松警惕，看不到后面的exe后缀，从而当成办公文本打开。

对该木马程序进行了分析：

该木马程序为盗号木马程序，针对性的进行了免杀处理。

360查杀：

火绒查杀：

分析该木马的功能：

首先沙盒打开木马，发现正在运行的QQ进程被关闭了。

然后出现错误显示来迷惑人

为了展示该木马读取当前登录的QQ号信息，我登录了我的小号8968464的QQ。

来自：大圣云沙箱

然后，该木马程序会读取当前登录QQ号信息，载入进去，弹出重新登录的钓鱼框。

在这里，该木马程序很有意思，就是，在你输入密码点击登录之前，

你的鼠标移动轨迹只能在这个重新登录界面移动，让受害者很惊慌，在惊慌下输入密码。

并且该木马程序，在输入密码点击登录后，进程不会消失，还会第二遍弹出，

让你在输入一遍，木马程序的作者为了能钓鱼成功，还是花了心思的。

就这样，没其他的了，我分析个锤子，放进沙箱等结果，提交火绒等查杀。

微信被爆出存在高危0day漏洞！新版本已修复，看到尽快更新！

湖南电信网络又崩了？疑似遭到境外黑客DDOS攻击，官方回复光缆故障

2021，越自律，越自由！网络安全就业班开班通知！

多一个点在看

多一条小鱼干