CVE-2018-20250 (19.02.24)

显示全部楼层 · 发表于 2019-2-24 23:04:31

www-tekeze 发表于 2019-2-24 23:01
看16楼，实际是个Html，看上去是不对，但没触发火绒任何系统加固，也没cmd、powershell动作。。

这个位置检查了？
/AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\new 1.js

显示全部楼层 · 发表于 2019-2-24 23:05:59

www-tekeze 发表于 2019-2-24 23:01
看16楼，实际是个Html，看上去是不对，但没触发火绒任何系统加固，也没cmd、powershell动作。。

mshta加载的吧。
你不会是实机运行的吧？

显示全部楼层 · 发表于 2019-2-24 23:07:51

191196846 发表于 2019-2-24 22:59
检查这个位置
/AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\new 1.js

嗯，是被写入了哪个js，还是ACE的锅！
不过我的UNACEV2.dll已经改后缀了，刚才为了解压才恢复的后缀。。

显示全部楼层 · 发表于 2019-2-24 23:09:02

ELOHIM 发表于 2019-2-24 23:05
mshta加载的吧。
你不会是实机运行的吧？

显示全部楼层 · 发表于 2019-2-24 23:10:15

ELOHIM 发表于 2019-2-24 23:05
mshta加载的吧。
你不会是实机运行的吧？

是实机运行但有影子木事，Html也是在沙盘里。。。还是那个ACE的漏洞利用。。

显示全部楼层 · 发表于 2019-2-24 23:16:10

191196846 发表于 2019-2-24 23:09
了解下这个漏洞
https://cert.360.cn/warning/detail?id=c96e594007d9bb2b8e62abcf43142ae7

有没有详细操作的说明，这个说的太泛泛了。是不是下面那个checkpoint链接？

显示全部楼层 · 发表于 2019-2-24 23:16:42

包括解压后的总共三个文件，ESET，MISS ALL 。。

显示全部楼层 · 发表于 2019-2-24 23:16:46

www-tekeze 发表于 2019-2-24 23:10
是实机运行但有影子木事，Html也是在沙盘里。。。还是那个ACE的漏洞利用。。

厉害了。
你这么相信影子，

显示全部楼层 · 发表于 2019-2-24 23:17:24

ELOHIM 发表于 2019-2-24 23:16
有没有详细操作的说明，这个说的太泛泛了。是不是下面那个checkpoint链接？

是

显示全部楼层 · 发表于 2019-2-24 23:18:47

191196846 发表于 2019-2-24 23:17
是

403进不去

[病毒样本] CVE-2018-20250 (19.02.24)