虚假的Remcos3.8.0

打算看看有没有Remcos3.8.0，对比一下正在分析的，结果发现了想要钓鱼的。

仓库地址：15bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6a6P5o6b7%4x3e0l9H3i4K6u0r3f1X3g2E0j5$3!0K6i4K6u0V1f1V1q4f1i4K6u0V1N6U0y4Q4x3X3f1^5i4K6u0W2x3l9`.`.

文件名: Remcos-RAT-3.8.0.exe

原文件名: System32.exe

md5: 6166f997b4bb3428ae0d9d4b4e1f0db2

sha256: 3e3ef95e4d20e1cf759021d91f834b6f2c82a1a9dbab3cab1605a55bc85d5be5

文件大小: 7.00 KB (7,168 字节)

文件类型: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows

pdb路径: C:\Users\Gadr\source\repos\ConsoleApp5\ConsoleApp5\obj\x86\Debug\System32.pdb

因为是.net的，直接用dnSpy看看好了

极具迷惑性的缺少依赖报错信息

从这里下载文件执行

hxxps://qaz.su/load/rTE6bi/b733f346-f3cc-4059-b212-d58a8e4d2f06

文件已经不存在了

如果C:\\Users\\Public\\VPNRAR路径存在，就下载到C:\\Users\\Public\\System32\\

还会设置自启动

下载的应该是一个后门，但已经不存在了，没办法继续分析

[培训]科锐逆向工程师培训第53期2025年7月8日开班！