文章总结： 本文分析了一起针对电商从业者的钓鱼攻击事件，攻击者伪装顾客发送加密压缩包诱导运行木马，利用自启动持久化控制主机并操作退款。作者详细剖析了样本的执行链、释放文件及免杀特征，并给出火绒配置建议与安全意识提醒，建议开启启动目录防护，强调不随意点击不明文件。 综合评分： 81 文章分类： 恶意软件,实战经验,安全意识

一次针对电商的钓鱼事件

原创

Secu的矛与盾 Secu的矛与盾

Secu的矛与盾

2026年3月23日 20:08 湖南

起因

这个是在刷抖音的时候刷到一个开装机店的博主，据他描述，他是自己开店，自己当客服，有个顾客下单配了几万块的主机，然后货都发出去了，顾客加他微信，说是给他发啥设计图，就给他发了一个加密的压缩包，老板打开了压缩包，打开后双击了里面的文件，然后觉得不对劲马上就重启了电脑，他以为万事大吉了，可万万没想到，就这么一下，木马已经写入自启动了，在老板不在的时候，这个顾客控制他了的电脑，自己申请了请退款，然后操作老板电脑在网店后台点同意，老板痛失￥￥￥。

这个样本找老板要来研究了下：

当然先用云沙箱看看，我比较喜欢用安恒云沙箱，开启“上帝视角”

https://sandbox.dbappsecurity.com.cn/report

1.1 主体样本

• 文件名：子欣设计0310刘总1.exe
• SHA256：c0713532a5e8457c04dd8d3c57fd5c62b6da2f119d4d6c7cfa72bef44c202482

1.2 释放/关联文件

目标目录：C:\Users\xxx\AppData\Roaming\rehrtjryk\<随机目录>

• 随机文件名的exe

• vjsc.dll

• SHA256：e1b4a453197b74e11645f632d1cdc82d2eed40d4b9e206c5d09dc95fd7da67ae

• 9x.dll   (网络拉取)

• SHA256：116baf0147cb3a823dc57787cd4d777de899f1d05d4a3cb1c352c8eeb8cdb479

• 其他文件：N5RW5e56g080.txt、key、1F8BFBFF000C0662

主要逻辑就是，

1. 用户执行 子欣设计0310刘总1.exe ——> 随机名小 EXE  ——>  vjsc.dll ——> 解密释放——> 写启动项

该样本一个拉一个，各文件签名也比较混乱，起初具备一定的免杀能力

启动项伪装的非常好

打开自启动文件夹，对应快捷方式可见指向的是释放的exe

当然最开始火绒是不杀的哈，如果喜欢用火绒的可以自己去配置一下，增加一些自定义规则

对应普通玩家，建议进入设置——系统防护——文件防护，打开启动目录防护，针对一般的想要写入自启动的木马也能防得住了，不小心运行不明文件就重启大法。

别乱点别人发的文件

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Secu的矛与盾 Secu的矛与盾 Secu的矛与盾《一次针对电商的钓鱼事件》