起因是玩瓦罗兰特想搞4:3分辨率拉伸，搜B站教学让下载一个WinExplorer。于是我直接Google搜了一下发现这货排名还挺靠前，没多想直接下载。

笔者发现Github上没有给出源码，只有Release和Readme，没多想直接下载运行。一天后笔者发现任务管理器多了个Network5540.exe，我没多想以为是雷神加速器的辅助工具。手动提交到Windows Defender样本也一时半会儿扫不出来，但是感觉越来越不对劲。

文件名：winexp.exe
MD5：0843ed1a1b1b20c51e506ea1667e797c
SHA256：28ad48ce374b52c10d15cd06a5b4d5b97ed9c2710996fefac758b0a155e45d47

行为：运行后它将利用powershell运行指令添加到Windows Defender的排除项:

随后将./data/dotnet.dll复制为dotnet.bat并运行，启动真正的winexp.exe。

文件名：dotnet.dll
MD5：1db5fbd9dde9fd2ad90697c55b0f9012
SHA256：e304aa05f981d67335436b8e6fa070e14c1ccce7e88c523d7236414a51509c2c
行为：这个假DLL其实是个bat，打开看了一眼是一坨，里面应该藏了二进制程序在里面。运行后它会将自己复制为%APPDATA%/Network5540.cmd，释放一个powershell.exe并通过-c参数解密并加载运行Network5540.cmd中的二进制程序。
笔者修改cmd得到执行Powershell的指令，经过反混淆和整理后得到如下代码：

把这俩程序读出来保存一下，直接脱壳+IL2Spy。经过分析，这两个程序一个是用来绕过Windows Defender，另外一个是后门exe。感觉就是Hook了俩函数(AmsiScanBuffer和EtwEventWrite)就把Windows Defender放倒了...

如果匹配到你复制内容是比特币的地址的话还会给你替换成他的钱包地址。

安装键盘钩子，记录窗口程序标题记录到%Temp%/Log.tmp文件中，笔者打开吓了一跳。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课