后门盗号木马

wwwab

病毒C&C服务器为124.132.153.147

病毒样本为
1： http://124.132.153.147/smss.exe
2： http://124.132.153.147/svchost.exe
3： http://124.132.153.147/WB.exe
其中1与2相同，3使用易语言编写而成。

该病毒会盗取 steam 游戏的账号，若需要上报，建议说清楚。


分流：您有一份文件待查收！即刻点击链接获取文件：https://cowtransfer.com/s/73ca3b9c9f414f 或进入 cowtransfer.com 获取，在首页输入取件码：789570（24小时内有效）

微步云沙箱：
1与2： https://s.threatbook.cn/report/file/70bdecf71010c5daefda7581c8126f12340bdc82c1705711bc8fb3c33031d668/?env=win7_sp1_enx86_office2013
3： https://s.threatbook.cn/report/file/15de7f8defad6bace8c44bd3bd7725c10c0dc8336a58a7e8d92075a651fd61d0/?env=win7_sp1_enx86_office2013（释放了较多的高危dll）

另外，该病毒会进行僵尸网络攻击，端口为888：

从下载量和ssfn文件夹中存放的较多账号数据来看，这个病毒危害可不小啊，而且还已经害了不少人啊……

心醉咖啡

毒霸

k2132

智量    微点

k2132

火绒

a233

Avast
双击全灭

k2132

360

温馨小屋

卡巴扫描杀1个





svchost拦截可疑驱动加载

温馨小屋

Norton 扫描杀1个


smss，被DP阻止释放文件



Svchost，被DP阻止释放驱动到系统目录，然后SONAR杀


诺顿的云太慢了，卡巴早就UDS拉黑了，诺顿这还毫无动作

秋日之殇

卡巴斯基扫描killx1，剩余的双击杀

henry217

对象        威胁        操作        路径
smss.exe        DPD:BackDoor.Farfli.131        已隔离        C:\Users\Henry\Desktop\smss.exe
只下了一个，dr web双击杀 拦截点很靠后，大概运行了20多秒