x2 (2023-01-23)

petr0vic

netweb

ESET miss

---

生如夏花之绚烂，死如秋叶之静美  
2023/1/23 下午10:04:36
bye  
From The Amazing Artifact：Netscape         

aboringman

netweb 发表于 2023-1-23 21:04
ESET miss

1.js双击触发命令行扫描

1. 命令行扫描程序
   
2. 
   
3. C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe;PowerShell/Obfuscated.D 可疑应用程序;已通过删除清除

复制代码

2.js双击触发AMSI扫描

1. AMSI 扫描程序
   
2. 
   
3. C:\Users\123\Desktop\2\2.js;JS/WSHRAT.A 蠕虫;已阻止

复制代码

均不杀本体。

Avast：0

1.js双击等了一会，行为防护杀。

1. <ChestId>00000002</ChestId>
   
2.                 <FileTime>1674480138</FileTime>
   
3.                 <OrigFileName>powershell.exe</OrigFileName>
   
4.                 <OrigFolder>C:\Windows\System32\WindowsPowerShell\v1.0</OrigFolder>
   
5.                 <Comment></Comment>
   
6.                 <Virus>IDP.HELU.PSOBF8%s_cmd</Virus>
   
7.                 <Category>Vir</Category>
   
8.                 <Restore>yes</Restore>
   
9.                 <TransferTime>1674480138</TransferTime>
   
10.                 <FileSize>80</FileSize>
    
11.                 <Viruses>IDP.HELU.PSOBF8%s_cmd</Viruses>
    
12.                 <SupportExceptions>yes</SupportExceptions>
    
13.                 <SendToAnalysis>yes</SendToAnalysis>

复制代码

2.js双击监控杀。

1. 2023/1/23 21:23:13        C:\Users\123\Desktop\2\2.js [L] JS:Downloader-GIC [Trj] (0)

复制代码

netweb

aboringman 发表于 2023-1-23 21:06
1.js双击触发命令行扫描

实机不测双击的

ELG只杀了2.js

anthonyqian

Avira

1 - missed

2- HTML/ExpKit.Gen2

dght432

360双击杀2.js。1.js阻止运行

kuroandsan

EMSI

1.js miss

2.js

1. 2023/1/23 22:12:22
   
2. 行为监控检测 可疑行为 "AutorunCreation" 来自于 C:\Users\ADog\AppData\Roaming\bBPGleXeSh.js (SHA1: 0B69C990C12F471BAE591FEFF36810BEE88DC8BE)
   
3. 
   
4. 2023/1/23 22:12:25
   
5. 通知： "在以下程序中发现了可疑行为： C:\Users\ADog\AppData\Roaming\bBPGleXeSh.js" .
   

复制代码

秋日之殇

1.js  ---   HEUR:Trojan-Downloader.Script.Generic
2.js ---    HEUR:Trojan-Dropper.Script.Generic

莒县小哥

hansyu

McAfee R50 双击
1.js，过了一会RealProtect拦截危险行为，wscript.exe进程消失，文件在原地。





2.js，AMSI扫描拦截，原文件被隔离。



R105 双击，两文件拦截结果与R50相同，区别是2.js没被隔离。