背景

在日常样本巡逻中，吾爱破解论坛大神在今天发现了一个名为Install_DeepSeek.exe的可疑样本在传播，如下图所示：

该样本打着DeepSeek的图标，无有效数字签名，pdb路径为C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb，这引起了大神们的警觉和怀疑，如下图所示：

经过分析，大神们确定，该样本会从黑客GitHub仓库中下载多层脚本和下载者，嵌套下载，最终通过下载得到一个使用Python编写的恶意脚本用于执行后门行为并窃取密码。截至本文撰写时该py脚本首次在VirusTotal多引擎扫描平台上传并扫描，静态检出率为0%，如下图所示：

同时，大神们发现黑客的GitHub账户上有多个类似的仓库，均在几个月或几周前上传了恶意软件，如下图所示：

样本分析

Install_DeepSeek.exe的主要行为是下载https://github.com/nvslks/g/raw/refs/heads/g/g.zip，如下图所示：

在https://github.com/nvslks/g仓库中有一个Bind.exe，经过分析后确认行为与上述Install_DeepSeek.exe基本一致，如下图所示：

大神们将g.zip下载后分析，发现里面压缩了一个g.bat，如下图所示：

g.bat的行为依次是：

1. 下载C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb0
2. 将下载到的文件保存为C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb1
3. 使用PowerShell解压缩C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb2至C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb3
4. 隐藏执行PowerShell，启动C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb4，然后退出
   如下图所示：

在C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb5之中，大神们发现里面携带了一个Python环境，如下图所示：

其中，压缩包内伪装的C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb6是C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb7解释器，如下图所示：

C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb8的作用是：使用压缩包内携带的Python解释器执行同目录下的C:\Users\Administrator\source\repos\Bind\Bind\obj\Release\Bind.pdb9，如下图所示：

该恶意软件的核心组件就是该Install_DeepSeek.exe0，大神们对其进行分析。
进入Install_DeepSeek.exe1后，大神们发现代码可能经过了混淆或最小化处理，无法直接进行阅读，如下图所示：

样本将代码字符转换为了列表中的数字，将列表存储进Install_DeepSeek.exe2变量中，执行时再通过以下代码还原出原先的代码并执行：

Install_DeepSeek.exe3

大神们将Install_DeepSeek.exe4列表复制出来，执行Install_DeepSeek.exe5再将Install_DeepSeek.exe6输出或写入至文件就可以得到该Python脚本的可读代码，如下图所示：

 

代码中的常量，如下图所示（木马后续的代码逻辑可能会见到，因此先进行展示）：

进入代码后，首先最令人难忘的是一堆Install_DeepSeek.exe7，如下图所示：

 

在此之后紧接着的是Install_DeepSeek.exe8，该class下的函数会寻找浏览器和浏览器Install_DeepSeek.exe9位置，尝试使用命令行https://github.com/nvslks/g/raw/refs/heads/g/g.zip0的方式结束正在运行的浏览器进程；命令行参数指定User Data目录，以调试模式启动浏览器进程；提取并保存浏览器cookies，压缩为zip（获取国家和IP地址作为zip压缩包文件名）并上传发送给黑客，相关代码如下图所示：

之后一个https://github.com/nvslks/g/raw/refs/heads/g/g.zip1用于初始化变量，从变量名中可以看到该后门木马会尝试获取浏览器Cookies、浏览器历史记录、浏览器文件下载记录、浏览器书签、无线局域网SSID及密码、系统信息、剪贴板内容、进程列表、一些社交软件&游戏平台账号Tokens等，如下图所示：

https://github.com/nvslks/g/raw/refs/heads/g/g.zip2下的函数主要进行一些加解密操作（例如解密密码等）、创建互斥体、判断当前状态下是否具有管理员权限等，相关代码如下图所示：

接下来是https://github.com/nvslks/g/raw/refs/heads/g/g.zip3下的函数：

1. https://github.com/nvslks/g/raw/refs/heads/g/g.zip4函数在https://github.com/nvslks/g/raw/refs/heads/g/g.zip5中执行https://github.com/nvslks/g/raw/refs/heads/g/g.zip6命令获取当前系统https://github.com/nvslks/g/raw/refs/heads/g/g.zip7命令行输出内容的编码方式。
2. https://github.com/nvslks/g/raw/refs/heads/g/g.zip8函数通过命令行执行并输出https://github.com/nvslks/g/raw/refs/heads/g/g.zip9(systeminfo, 系统信息)&https://github.com/nvslks/g0(进程列表)&https://github.com/nvslks/g1(进程和服务的对应关系)&https://github.com/nvslks/g2(TCP/IP配置的设置值)&https://github.com/nvslks/g3(TCP/IP配置的详细信息)&https://github.com/nvslks/g4(路由表)&https://github.com/nvslks/g5(当前路由表中的所有条目)&https://github.com/nvslks/g6(防火墙信息)等。
3. https://github.com/nvslks/g7函数通过执行https://github.com/nvslks/g8命令获取https://github.com/nvslks/g9格式的当前进程列表。
4. Bind.exe0函数通过执行Bind.exe1中Bind.exe2命令获取当前剪贴板内容
5. Bind.exe3函数获取IP地址、国家、城市、时区、运营商
6. Bind.exe4函数获取本地无线局域网信息、无线局域网SSID及密码
   相关代码如下图所示：

该木马程序的核心实现部分在Bind.exe5下，Main class下的变量和函数非常多，不再一一展示，Main class的结构大纲如下图所示：

需要特别提及的是，该木马获取屏幕截图是在Main class下的Bind.exe6函数下，通过执行Bind.exe7编码过的Bind.exe8命令：

Bind.exe9

解码后命令为：

Install_DeepSeek.exe0

如下图所示：

Install_DeepSeek.exe1下的Install_DeepSeek.exe2函数会将待上传的文件上传到Install_DeepSeek.exe3，然后获取到文件分享链接，之后程序再将文件分享链接上传发送给黑客，相关代码如下图所示：

Install_DeepSeek.exe4下的函数会根据文件内容、文件大小、文件拓展名等文件特征选择性窃取文件，压缩为zip并上传发送给黑客（将国家、IP地址和文件所在驱动器号作为zip压缩包文件名），相关代码、关键词、文件拓展名，如下图所示：

程序在启动时会直接执行Install_DeepSeek.exe5 Install_DeepSeek.exe6 class 下的函数和Install_DeepSeek.exe7，如下图所示：

附录

（一）恶意行为者资产
GitHub账户：https://github.com/nvslks
相关GitHub仓库：
https://github.com/nvslks/g (本文分析样本)
https://github.com/nvslks/h
https://github.com/nvslks/f
https://github.com/nvslks/b
https://github.com/nvslks/a
https://github.com/nvslks/c
https://github.com/nvslks/e
https://github.com/nvslks/d
截至本文撰写时仍然可访问。
（二）本文分析样本Hash (SHA-256)
Install_DeepSeek.exe – c9d815df845f5e13e8ef1142cb2dec8f97a449d639be2b38bdd75beaacff70b8
Bind.exe – 9d09a10bfa2aeb89aba5e20e88fb4fc1f56392d859d0592db66221a9f00000c4
g.bat – 25696f0af2570b4ab6013ff7dcb6995dcfaff31323ad05b268a680a2411ccf0a
1.bat – 1003d1b243a01a0a518491d0af6c67e33b8d904762b5de167b39acec05ca46f4
python.py – f6d47d223401627eb4978b7582368854d271d6446b3137dac5ce99cb46efd886

安全无小事，防范于未然。 希望本文的分析能帮助你更好地理解此类恶意软件的工作原理，并采取有效的防护措施。感谢吾爱破解大神团队的辛勤付出，为我们揭示了这一潜在的安全威胁！文章来源与：点击查看原文