#Dropper #VBS

显示全部楼层 · 发表于 2020-2-27 07:49:24

本帖最后由 BE_HC 于 2020-2-27 08:00 编辑

下载:https://www.lanzous.com/i9ptjfc 密码:1a8q

%TEMP%\TableOfColors.exe
%SYSTEMROOT%\System32\Tasks\ZHYlVkOKpqWKEWnRJvNHHmgGn

复制代码

http://b.kitchencabinetryprofessionals.com/ushaudhsauhds.png?uid=TQBpAGMAcgBvAHMAbwBmAHQAIABXAGkAbgBkAG8AdwBzACAANwAgAFAAcgBvAGYAZQBzAHMAaQBvAG4AYQBsACAA

复制代码

显示全部楼层 · 发表于 2020-2-27 07:50:36

本帖最后由 renyifei 于 2020-2-27 08:23 编辑

BD 扫描miss，双击提示下载NF3.5，OTP拦截。
安装好后再次运行，OTP再杀。

显示全部楼层 · 发表于 2020-2-27 08:03:17

本帖最后由 swizzer 于 2020-2-27 08:19 编辑

智量扫描miss，双击，无行为
Update：这原来是个downloader···payload落地后主防杀（未开启基础监控）

那个TableOfColors就是payload···我还以为是另一个帖子里的衍生物

显示全部楼层 · 发表于 2020-2-27 08:08:07

咖啡杀：
VBS/Dropper.bv

显示全部楼层 · 发表于 2020-2-27 08:14:16

本帖最后由 BE_HC 于 2020-2-27 08:18 编辑

renyifei 发表于 2020-2-27 07:50
BD 扫描miss，双击运行失败，跑不起来。

WIN7 X64

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo>
<Author>Administrator</Author>
<Description>EnDLsVbzPymxDbDjWwpqWVYrxVFaY</Description>
</RegistrationInfo>
<Triggers>
<TimeTrigger id="vFdWkQoExADKqQocggBYVzWy">
<StartBoundary>2020-02-27T08:12:43</StartBoundary>
<EndBoundary>2020-02-27T08:16:43</EndBoundary>
<ExecutionTimeLimit>PT5M</ExecutionTimeLimit>
<Enabled>true</Enabled>
</TimeTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>true</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\Users\Jerry\AppData\Local\Temp\TableOfColors.exe</Command>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>Jerry-PC\Jerry</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>

复制代码

显示全部楼层 · 发表于 2020-2-27 08:15:49

BE_HC 发表于 2020-2-27 08:14
WIN7 X64

等我再试试

显示全部楼层 · 发表于 2020-2-27 08:15:56

ESET Miss
又是高度混淆的脚本

显示全部楼层 · 发表于 2020-2-27 08:16:19

本帖最后由 LSPD 于 2020-2-27 08:18 编辑

Norton 扫描 miss
双击 ips blocked

显示全部楼层 · 发表于 2020-2-27 08:22:44

BE_HC 发表于 2020-2-27 08:14
WIN7 X64

我out了，原来这个根本不弹窗口。

显示全部楼层 · 发表于 2020-2-27 08:28:20

renyifei 发表于 2020-2-27 08:22
我out了，原来这个根本不弹窗口。

如果vbs跑不起来一般会弹窗的
大致像这样

[病毒样本] #Dropper #VBS

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块