#Stealer #Powershell via #CVE-2022-30190 (2022-06-20)

Jirehlov1234

https://twitter.com/StopMalvertisin/status/1538766748249636869

https://www.virustotal.com/gui/f ... 772f76bed8e/details

#Follina前体就不发了，单发一个第三阶段的ps1

00006666

免疫    ）



修改设置，运行脚本后

一堆报错.....，不知道与360拦截模拟按键有没有关系



看了下360日志，只拦截了模拟按键

1. 时间        操作        说明        次数
   
2. 2022-06-20 18:38:54        [自动阻止]          模拟按键        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.exe" , (2, 21)
   
5. 动作：模拟按键
   
6. 路径：

复制代码

rogersg

Microsoft Defender
扫描Miss，双击Kill

1. Event[0]:
   
2. Time Created  : 2022/6/20 19:00:49
   
3. ProviderName : Microsoft-Windows-Windows Defender
   
4. Id           : 1116
   
5. Message      : Microsoft Defender 防病毒 检测到恶意软件或其他可能不需要的软件。
   
6.                 有关详细信息，请参阅以下内容:
   
7.                https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/PsKeyloggers.B!su&threatid=2147763276&enterprise=0
   
8.                         名称: Trojan:Win32/PsKeyloggers.B!su
   
9.                         ID: 2147763276
   
10.                         严重性: 严重
    
11.                         类别: 特洛伊木马
    
12.                         路径: amsi:_C:\Users\Admin\Desktop\forbest.ps1
    
13.                         检测起源: 未知
    
14.                         检测类型: 实际
    
15.                         检测源: AMSI
    
16.                         用户: DESKTOP-I059TEB\Admin
    
17.                         进程名称: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
18.                         安全智能版本: AV: 1.367.1860.0, AS: 1.367.1860.0, NIS: 1.367.1860.0
    
19.                         引擎版本: AM: 1.1.19200.6, NIS: 1.1.19200.6

复制代码

Kaspersky
扫描Miss 双击运行一堆报错，但卡巴无反应


Bitdefender
扫描Miss，双击同样一堆报错，无反应

wwwab

00006666 发表于 2022-6-20 18:39
免疫    ）

原来组策略里面可以改，我一直都是用set-ExecutionPolicy RemoteSigned修改的

Shake2333

eset kill

心心相印

md kill

swizzer