搜索
楼主: Ghost酱
收起左侧

[病毒样本] 神奇的bat

  [复制链接]
www-tekeze
发表于 2020-2-4 23:52:00 | 显示全部楼层
www-tekeze 发表于 2020-2-4 22:01
智量报释放器,火绒Miss,有空双击。。

恢复昨晚虚拟机快照,智量扫描Miss,开启基础实时监控双击,首先会释放个衍生物,然后调用cscript,全部放行被两家监控同时杀!释放的衍生物x.js两家都入库了,game over 。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
yjwfdc
发表于 2020-2-5 12:32:03 | 显示全部楼层
本帖最后由 yjwfdc 于 2020-2-5 15:37 编辑

批处理创建文件
批处理创建文件   
调用x.js
目标: c:\windows\system32\cscript.exe 命令行: cscript  x.js
cscript.exe创建文件

解压文件
进程: c:\windows\system32\cscript.exe
目标: C:\Users\pydn200131\AppData\Roaming\a.exe

运行a.exe
进程: c:\windows\system32\cmd.exe
目标: c:\users\pydn200131\appdata\roaming\a.exe
命令行: "C:\Users\pydn200131\AppData\Roaming\a.exe"

添加启动项
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xswl
值: C:\Users\pydn200131\AppData\Roaming\a.exe

添加启动项
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: C:\Users\pydn200131\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xswl.lnk

添加启动项
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit
值: C:\Windows\system32\userinit.exe,C:\Users\pydn200131\AppData\Roaming\a.exe

添加启动项
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
值: Explorer.exe C:\Users\pydn200131\AppData\Roaming\a.exe

创建文件
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: C:\xswl\ctrl


创建新进程
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ftype xswl=C:\Users\pydn200131\AppData\Roaming\a.exe&assoc .exe=xswl&assoc .jpg=xswl&assoc .png=xswl&assoc .txt=xswl&assoc .bat=xswl&assoc .scr=xswl&assoc .com=xswl&assoc .pif=xswl

2020/2/5 11:52:34    创建注册表项
进程: c:\windows\system32\cmd.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\xswl

修改.exe文件关联
进程: c:\windows\system32\cmd.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
值: xswl

2020/2/5 11:52:48    修改注册表值
进程: c:\windows\system32\cmd.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\GlobalAssocChangedCounter
值: 0x00000030(48)

2020/2/5 11:54:03    创建新进程   
进程: c:\users\pydn200131\appdata\roaming\a.exe
目标: c:\xswl\ctrl
命令行: C:\xswl\ctrl

2020/2/5 11:55:20    创建新进程   
进程: c:\xswl\ctrl
目标: c:\windows\system32\cmd.exe
命令行: cmd /c color 02

修改桌面背景图
修改txt文件关联
关闭电脑
有没有写mbr不清楚,因为我开启了电脑速度卫士的mbr保护
制造蓝屏

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
纽盖特
发表于 2020-2-5 13:22:08 | 显示全部楼层

Bitdefender干掉了


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Ghost酱
 楼主| 发表于 2020-2-5 18:23:52 | 显示全部楼层
a233 发表于 2020-2-4 18:02
我这里跑不起来

需要管理员权限。
a233
发表于 2020-2-5 18:24:26 | 显示全部楼层
Ghost酱 发表于 2020-2-5 18:23
需要管理员权限。

右键管理员也一样
多年不改昵称
发表于 2020-2-5 21:55:39 来自手机 | 显示全部楼层
这是释放器吗?
多年不改昵称
发表于 2020-2-5 23:45:39 来自手机 | 显示全部楼层
暗_黑 发表于 2020-2-4 18:23
话说这东西有什么危害

双击后只看见开机启动,不知道注册表之类有没有被改。
Janus
发表于 2020-2-6 16:51:41 | 显示全部楼层

挥泪斩情思
发表于 2020-2-6 19:07:23 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Janus
发表于 2020-2-7 00:01:41 | 显示全部楼层
诺顿双击
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2020-2-29 05:13 , Processed in 0.094722 second(s), 15 queries .

快速回复 返回顶部 返回列表