-
-
[原创]虚假的Remcos3.8.0
-
2022-11-20 12:15
-
虚假的Remcos3.8.0
打算看看有没有Remcos3.8.0,对比一下正在分析的,结果发现了想要钓鱼的。
仓库地址:https://github.com/Ox47100/Remcos-RAT-v3.8.0
文件名: Remcos-RAT-3.8.0.exe
原文件名: System32.exe
md5: 6166f997b4bb3428ae0d9d4b4e1f0db2
sha256: 3e3ef95e4d20e1cf759021d91f834b6f2c82a1a9dbab3cab1605a55bc85d5be5
文件大小: 7.00 KB (7,168 字节)
文件类型: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
pdb路径: C:\Users\Gadr\source\repos\ConsoleApp5\ConsoleApp5\obj\x86\Debug\System32.pdb
因为是.net的,直接用dnSpy看看好了
极具迷惑性的缺少依赖报错信息
从这里下载文件执行
hxxps://qaz.su/load/rTE6bi/b733f346-f3cc-4059-b212-d58a8e4d2f06
文件已经不存在了
如果C:\\Users\\Public\\VPNRAR路径存在,就下载到C:\\Users\\Public\\System32\\
还会设置自启动
下载的应该是一个后门,但已经不存在了,没办法继续分析
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
最后于 2022-12-31 21:09
被qux编辑
,原因: 内嵌图片不显示,重新上传图片
|
|
|---|---|
