From MB 新鲜的4.6

显示全部楼层 · 发表于 2021-4-6 22:58:16

本帖最后由 hsks 于 2021-4-6 23:00 编辑

简单的看一下~
首先，这些文件来自Access Documents.html这个Html文件，打开后会下载“文档”，估计是从恶意邮箱里的吧

下载好后，我们肯定会打开文档，发现文档有密码

然后在文件夹一看，有个DocuSign_Password.xml_;的文件（lnk文件，标准结局）

于是受害者想都不想就点了lnk文件，于是乎：C:\Windows\System32\wscript.exe //B publiclicense.vbs
VBS文件这个操作，WTF!!!!!

这里能力有限，求分析PS：

显示全部楼层 · 发表于 2021-4-6 23:02:20

显示全部楼层 · 发表于 2021-4-6 23:02:41

Avast
双击lnk，vbs被IDP干了

显示全部楼层 · 发表于 2021-4-6 23:04:14

Virus4 发表于 2021-4-6 23:02

Stop，分析一下VBS

我看不懂

显示全部楼层 · 发表于 2021-4-6 23:06:46

Microsoft Defender
publiclicense.vbs（Trojan:Script/Wacatac.B!ml）
其余miss

显示全部楼层 · 发表于 2021-4-6 23:08:04

正在缓冲发表于 2021-4-6 23:06
Microsoft Defender
publiclicense.vbs（Trojan:Script/Wacatac.B!ml）
其余miss

你的Avast One Free装好了没有
是不是很慢

晚上在线安装慢正常

显示全部楼层 · 发表于 2021-4-6 23:09:05

eis智量扫描miss

显示全部楼层 · 发表于 2021-4-6 23:11:29

卡巴

事件: 检测到恶意对象
组件: 网页反病毒
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan-Downloader.Script.Generic
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: publiclicense.vbs
MD5: FAB9A4A3515AE8EF05B9E1D2ADEC8C7C
原因: 专家分析
数据库发布日期: 今天，2021/4/6 17:06:00

复制代码

显示全部楼层 · 发表于 2021-4-6 23:13:07

本帖最后由正在缓冲于 2021-4-7 21:58 编辑

a233 发表于 2021-4-6 23:08
你的Avast One Free装好了没有
是不是很慢晚上在线安装慢正常

装好了，安装时不动虚拟机安装就挺快，虚拟机有点卡，半天才打开主界面……这界面还行，多了清理垃圾和防火墙，V｛过｝｛滤｝P｛过｝｛滤｝N都免费用了……
和小红伞一样，清理垃圾只清一半另一半要money，估计V P N都是这样

显示全部楼层 · 发表于 2021-4-6 23:14:25

hsks 发表于 2021-4-6 11:04
Stop，分析一下VBS
我看不懂

不要让咸鱼做这么难的事情呀

[病毒样本] From MB 新鲜的4.6

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分