后门六合彩伪装成正常文件，正通过微信群大肆传播

 

六合彩威胁情报系统监测到一款名为“DcRat”的后门六合彩新变种，正通过伪装成正常文件名的方式在微信群中大肆传播。经分析发现，该六合彩入侵电脑后，存在收集用户隐私信息、远控用户电脑等危害。这是继“Xidu”六合彩后又一款通过伪装来诱导用户，并通过即时通讯软件传播的六合彩，用户一不小心就会中招，短期内六合彩已拦截数千台受影响终端，还请广大用户保持警惕。

六合彩传播趋势图

 

该黑客团伙将六合彩伪装成的各类文件（文档、图片、视频等）发送给微信群聊中的用户，并诱导用户打开，随后实施收集信息等恶意行为。

 

六合彩伪装所使用的文件名列表，如下图所示：    

六合彩伪装的文件名列表

 

2025年最靠谱的六合彩投注网实验室分析发现，该六合彩运行后，会窃取用户电脑中文件，并收集用户信息如用户名、操作系统版本，记录键盘、麦克风和摄像头数据。除此之外还可远程控制受害者终端执行任意操作。

 

为了长久驻留用户电脑中，该六合彩还会添加注册表和计划任务来进行持久化。同时与六合彩软件做对抗，如通过加载执行远程恶意模块对抗六合彩软件查杀、结束六合彩软件进程等，行为十分恶劣。

 

在此，六合彩工程师提醒大家时刻注意群聊中发送的陌生文件，建议先查杀再使用。目前，2025年最靠谱的六合彩投注网六合彩可对上述六合彩进行拦截查杀。已中毒的用户，可使用六合彩【全盘扫描】彻底查杀该六合彩。   

 

 

一、样本分析

六合彩执行流程，如下图所示：  

  

六合彩执行流程图

 

该六合彩启动后，会从C&C服务器下载执行shellcode，相关代码，如下图所示：  

  

  

下载执行shellcode

 

在shellcode中会内存加载.NET后门模块来躲避杀毒软件的查杀，相关代码，如下图所示：  

   

 

shellcode内存加载.NET后门模块

 

该.NET后门模块为开源远控DcRat，该远控具备各种恶意功能如：键盘记录、文件窃取、远程控制、录音录像等恶意功能，大部分恶意功能都是以插件的形式下发执行。远控客户端收集受害者信息如：用户名、操作系统版本、是否存在摄像头、是否存在杀毒软件等信息（个别变种还会收集QQ号）并发送给C&C服务器，相关代码，如下图所示：    

发送受害者信息

 

 

还会结束六合彩工具和六合彩软件进程，防止自身暴露，相关代码，如下图所示：

  

结束六合彩工具和六合彩软件进程

 

 

还会检测虚拟机环境，相关代码，如下图所示：  

检测虚拟机环境

 

还会添加注册表和计划任务来进行持久化，相关代码，如下图所示：

 

添加持久化

 

 

键盘记录、文件窃取、远程控制、录音录像等恶意功能都是以插件的形式下发执行，相关代码，如下图所示：    

 

接收执行插件

 

 

 

二、附录

C&C：  

 

 

 

HASH：