到2021年4月28号下午15点40分左右，某公司财务出纳QQ收到了一条消息：“05897779999888.zip”。发件人QQ昵称：幺妹子QQ号：1315898xxxxx通过对QQ号的侦查，发现该QQ号的主人是一名会计，是一家公司的财务出纳，被诈骗团伙钓鱼攻击，得到QQ号密码后，通过她的邮箱向企业财务公司发送精准的钓鱼攻击活动。

由于公司财务出纳，经常收到各种票据，所以不经意间，点击了文件内容。另外，我们在同一个办公室，当财务说鼠标动不了时，我们发现邮件可能是钓鱼木马，第一时间关掉，拔掉网线，从新修改财务出纳的QQ密码，消除后顾之忧，前后用了不到两分钟，拔掉网线一分钟也没到。主要是怕这是一个遥控木马，而且财务电脑处于内网环境，先阻隔掉危险因素。

估测是利用木马，获取财务出纳的信息，然后获取一些公司管理人员的信息，然后冒充领导等，对公司财务进行诈骗转帐，相信大家都知道，这些诈骗套路我就不赘述了。当木马被解压后，发现该木马进行一些目标伪装。隐藏一.替换图标。

这个木马程序把exe的程序图标，伪装成办公文件的图标，不仔细看，只作为办公文档打开。Page2.利用桌面可见的字节限制，将zip压缩包格式进一步伪装起来。解压结束后，用肉眼看到桌面上解压后的文件。使用显示的字节不全，让人放松警惕，看不到后面的exe后缀，从而就像打开了办公文本一样。分析了木马程序的主要内容：这个木马程序是一个盗号木马程序，有针对性地进行了免杀。

360查杀：免杀火绒查杀：免杀，分析这个木马的功能：首先打开一个沙盒，发现一个正在运行的QQ进程被关闭。结果显示出错误令人困惑.为了展示这个木马读取当前登录QQ号的信息，我用我的QQ号8968464登录。该木马程序会读取当前登录QQ号信息，加载进去，弹出重新登录的钓鱼框。这个木马程序很有趣，在你输入密码点击登录之前，你的鼠标移动轨迹只能在这个重新登录的界面上移动，让受害者很恐慌，在恐慌下输入密码。而这个木马程序，在点击输入密码登录后，进程不会消失，还会弹出第二次，让您在输入时，木马程序作者为了能成功钓鱼，还是不遗余力的。