文章总结： 本文详述了一起因下载非官方WhatsApp安装包导致电脑中毒的应急响应案例。通过断网隔离、进程与文件溯源，定位pythonw.exe异常及伪装目录，确认为软件钓鱼攻击。处置包括清除木马与启动项。文章建议构建内部应用库、强化入职培训及安全意识教育，以防范此类软件供应链风险。 综合评分： 81 文章分类： 应急响应,恶意软件,社会工程学,安全意识,办公安全

软件钓鱼——应急响应

原创

界|晓 界|晓

黑域之路

2026年1月28日 10:40 广东

安装软件不规范，导致电脑中毒；安全意识培训，任重而道远。

——前言

#

阅读声明：纯技术分享，文章仅供参考，文中的知识或工具仅限于读者对自己所负责的网站、服务器等进行学习研究和授权测试，严禁用于一切未授权测试和非法测试，否则产生的一切后果自行承担，与本文作者无关！！！

0x00 响应

1.事件

    企业人员安装应用程序不规范，没有在从可信任来源下载安装包；在第三方来源下载了带毒的应用程序安装包进行安装，最终导致电脑被成功植入木马加载器。

2.信息收集

• 受害机有安装商业版杀毒软件，EDR等安全防护软件；
• 还没有异常远控行为，和信息收集痕迹；
• 安全设备没有存在横向渗透告警，即恶意程序没有进行横向传播行为。

0x01 阻断

1.网络处理

    通过响应信息，可以确定此次事件为钓鱼事件，受害机为行政人员日常办公机子，确保防止敏感数据丢失或泄露，直接对受害机进行断网处理。

2.传播控制

    对受害机网卡进行禁用。

0x02 分析

1）威胁情报分析

对域名进行威胁情报分析，判断为木马威胁

#

2）DNS解析记录分析

进行DNS解析溯源，知道域名，进行内存字符定位，没有找到，进行DNS解析定位，

Nslookup 没有解析到

在DNS缓存中进行搜索，没定位到解析IP

#

3）进行网络连接分析

发现异常程序：pythonw.exe

4)自启动程序分析

发现异常的自启动程序，也指向 pythonw.exe

#

#

5）文件定位

对文件进行定位，可以发现木马创建伪装目录：whatsapp

6）溯源安装程序

猜测为whatapp钓鱼程序，对下载行为进行排查

确实存在whatapp下载和安装行为

对相关安装程序进行收集，并在沙盒中测试

发现，木马程序为：whatsapp_SXetup文件 安装时释放

7）后门程序排查

未发现其他后门程序残留。

0x03 清除

1.结束木马程序进程；

2.删除整个木马目录；

3.删除木马启动项调用；

4.清除钓鱼安装程序。

#

0x04 加固

1.构建内部应用程序库；

2.向人员推荐可信来源应用程序库；

3.入职流程进行安全准则阅读并签字；

4.对人员进行安全意识培训和安全办公准则督导；

5.建设企业安全文化，张贴安全标语和分享安全事件案例。

***如有侵权，请私聊公众号删文***

——————————END——————————

欢迎关注黑域之路

愿您在信安海洋中有所收获

点赞关注不迷路，添加星标有推送

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑域之路 界|晓 界|晓《软件钓鱼——应急响应》