重庆悦微捷科技有限公司的数字签名：

 

在虚拟机中跑起来，发现其注册了服务：

 

详细描述：

极速云网客户端服务程序, 为极速云网提供系统级服务。如果此服务被停止相关的程序将不能正常运行!

启动后插入注册表：HKLM\System\CurrentControlSet\Services\YueweijieTransHost

 

启动后静默后台执行 通过TCP HTTS链接远程IP：219.239.88.228：443（北京市北京市鹏博士宽带）发到远程服务器域名：ts1.yueweijie.com

 

该程序调用的DLL。

 

通过注册表添加为服务程序：

 

调用系统函数实现远程控制功能

获取系统环境信息、创建文件对文件大小获取远程传输文件等功能。

 

死锁功能两个程序处理待发状态，等待远程程序发送执行。

 

查找极速云网软件，发现如下介绍：

下载并运行：

安装界面出现了yueweijie.com，现在猜测TransHost.exe极有可能是悦微捷公司开发的极速云网软件内的某个模块，对yueweijie.com查询whois信息如下：

打开软件安装目录，发现下列文件：

 

发现TransHost确实为极速云网软件内的一个模块，从名称推断，极速云网包含客户端和远程服务器端，分别对应

 与

 

打开后的软件界面:

 

右下角的在线用户不断浮动，软件工作正常

通过测试发现，此软件的功能是对任意内外网主机的指定软件或全电脑直接进行控制

由于软件是带有数字签名的合法程序，杀毒软件也不会有任何提醒，如果TransHost.exe并非自己主动安装，需要特别注意是否被恶意远程控制。

总结：分析一个程序并不是一定要逆向它的所有流程和功能，只要达到目的就好，简单暴力。

by:九月;badboy

 【请尊重作者转载注明出处】