神奇的bat

显示全部楼层 · 发表于 2020-2-4 23:52:00

www-tekeze 发表于 2020-2-4 22:01
智量报释放器，火绒Miss，有空双击。。

恢复昨晚虚拟机快照，智量扫描Miss，开启基础实时监控双击，首先会释放个衍生物，然后调用cscript，全部放行被两家监控同时杀！释放的衍生物x.js两家都入库了，game over 。。

显示全部楼层 · 发表于 2020-2-5 12:32:03

本帖最后由 yjwfdc 于 2020-2-5 15:37 编辑

批处理创建文件
批处理创建文件
调用x.js
目标: c:\windows\system32\cscript.exe 命令行: cscript x.js
cscript.exe创建文件

解压文件
进程: c:\windows\system32\cscript.exe
目标: C:\Users\pydn200131\AppData\Roaming\a.exe

运行a.exe
进程: c:\windows\system32\cmd.exe
目标: c:\users\pydn200131\appdata\roaming\a.exe
命令行: "C:\Users\pydn200131\AppData\Roaming\a.exe"

添加启动项
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xswl
值: C:\Users\pydn200131\AppData\Roaming\a.exe

添加启动项
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: C:\Users\pydn200131\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xswl.lnk

添加启动项
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
值: C:\Windows\system32\userinit.exe,C:\Users\pydn200131\AppData\Roaming\a.exe

添加启动项
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
值: Explorer.exe C:\Users\pydn200131\AppData\Roaming\a.exe

创建文件
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: C:\xswl\ctrl

创建新进程
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ftype xswl=C:\Users\pydn200131\AppData\Roaming\a.exe&assoc .exe=xswl&assoc .jpg=xswl&assoc .png=xswl&assoc .txt=xswl&assoc .bat=xswl&assoc .scr=xswl&assoc .com=xswl&assoc .pif=xswl

2020/2/5 11:52:34 创建注册表项
进程: c:\windows\system32\cmd.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xswl

修改.exe文件关联
进程: c:\windows\system32\cmd.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
值: xswl

2020/2/5 11:52:48 修改注册表值
进程: c:\windows\system32\cmd.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\GlobalAssocChangedCounter
值: 0x00000030(48)

2020/2/5 11:54:03 创建新进程
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: c:\xswl\ctrl
命令行: C:\xswl\ctrl

2020/2/5 11:55:20 创建新进程
进程: c:\xswl\ctrl
目标: c:\windows\system32\cmd.exe
命令行: cmd /c color 02

修改桌面背景图
修改txt文件关联
关闭电脑
有没有写mbr不清楚，因为我开启了电脑速度卫士的mbr保护
制造蓝屏

显示全部楼层 · 发表于 2020-2-5 13:22:08

Bitdefender干掉了

显示全部楼层 · 发表于 2020-2-5 18:23:52

a233 发表于 2020-2-4 18:02
我这里跑不起来

需要管理员权限。

显示全部楼层 · 发表于 2020-2-5 18:24:26

Ghost酱发表于 2020-2-5 18:23
需要管理员权限。

右键管理员也一样

显示全部楼层 · 发表于 2020-2-5 21:55:39

这是释放器吗？

显示全部楼层 · 发表于 2020-2-5 23:45:39

暗_黑发表于 2020-2-4 18:23
话说这东西有什么危害

双击后只看见开机启动，不知道注册表之类有没有被改。

显示全部楼层 · 发表于 2020-2-6 16:51:41

显示全部楼层 · 发表于 2020-2-6 19:07:23

显示全部楼层 · 发表于 2020-2-7 00:01:41

诺顿双击

[病毒样本] 神奇的bat

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源