powershell/downloader (2023-08-13)

petr0vic

anthonyqian

Avira APC missed

[BaseScan] [thread id: 8584] The file '\\?\C:\Users\\Desktop\1.wsf' has been uploaded to the Protection Cloud and analyzed. SHA256: 'bdb8d1311fbbf0ceff9b7e5273848c36a84ccd24c9aca3100e19eba8d4baeba1' Flags: '{Upload done}' Status: successful
[2023-08-13 13:26:58.275] [info] [BaseScan] [thread id: 8584] The file '\\?\C:\Users\\Desktop\1.wsf' was scanned with the Protection Cloud. SHA256: 'bdb8d1311fbbf0ceff9b7e5273848c36a84ccd24c9aca3100e19eba8d4baeba1' Flags: '{Upload done}' Status: successful

ANY.LNK

一些衍生物

aa.jpg是个压缩文件

petr0vic

ANY.LNK 发表于 2023-8-13 08:35
一些衍生物

hxxps://admin.hospetrack.com/aa.jpg
archive

dght432

360扫描miss

心醉咖啡

腾讯电脑管家扫描miss

秋日之殇

kaspersky：HEUR:Trojan.Script.Generic

aboringman

1.wsf

1. 2023-08-13 14:06:53        [已清除]          发现木马：Worm.Script.CryptoLocker        防护 1 次
   
2. 详细描述：
   
3. 木马名称：Worm.Script.CryptoLocker
   
4. 所在路径：C:\Users\Killer\Desktop\1\1.wsf
   
5. 
   
6. 2023-08-13 14:06:52        [自动阻止]          进程创建        防护 1 次
   
7. 详细描述：
   
8. 进程：C:\Windows\explorer.exe
   
9. 动作：进程创建
   
10. 路径：C:\Windows\System32\wscript.exe
    
11. 拦截补充描述：有木马试图攻击您的电脑，360已成功拦截。
    
12. 
    
13. 防护信息: AD|1, 236|10, 10, 70||
    

复制代码

衍生物全部放在公用文件夹下，运行Roll.ps1，期间阻止多次注入行为。

1. 2023-08-13 14:10:25        [已阻止]          远程线程注入        防护 1 次
   
2. 详细描述：
   
3. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
   
4. 动作：远程线程注入
   
5. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe
   
6. 风险文件：C:\Users\Public\Roll.bat
   
7. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
   
8. 
   
9. 防护信息: AD|2, 88|60, 60, -1||
   
10. 
    
11. 2023-08-13 14:10:23        [已阻止]          远程线程注入        防护 1 次
    
12. 详细描述：
    
13. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
14. 动作：远程线程注入
    
15. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe
    
16. 风险文件：C:\Users\Public\Roll.bat
    
17. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
18. 
    
19. 防护信息: AD|2, 88|60, 60, -1||
    
20. 
    
21. 2023-08-13 14:10:22        [已阻止]          远程线程注入        防护 1 次
    
22. 详细描述：
    
23. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
24. 动作：远程线程注入
    
25. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe
    
26. 风险文件：C:\Users\Public\Roll.bat
    
27. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
28. 
    
29. 防护信息: AD|2, 88|60, 60, -1||
    
30. 
    
31. 2023-08-13 14:10:21        [已阻止]          远程线程注入        防护 1 次
    
32. 详细描述：
    
33. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
34. 动作：远程线程注入
    
35. 路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe
    
36. 风险文件：C:\Users\Public\Roll.bat
    
37. 拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
    
38. 
    
39. 防护信息: AD|2, 88|60, 60, -1||
    
40. 
    
41. 2023-08-13 14:09:57        [已允许]          进程创建        防护 1 次
    
42. 详细描述：
    
43. 进程：C:\Windows\System32\cmd.exe
    
44. 动作：进程创建
    
45. 路径：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
    
46. 拦截补充描述：为了您的上网安全，如果您不认识此程序，请阻止此操作。
    
47. 
    
48. 防护信息: AD|1, 10001|30, 60, 10||

复制代码

Roll.ps1被上传，结果为暂未发现风险。

补后续截图

hansyu

McAfee 双击
被高级防火墙阻止下载，没有成功执行后续操作。

swizzer

实时防护检测到威胁Amsi.Edge.2.587874BB。未采取任何操作。此项目将由WScript.exe(C:\Windows\System32\WScript.exe)进一步处理。 这是AMSI反恶意软件扫描接口检测。