powershell/downloader (2023-08-13)

显示全部楼层 · 发表于 2023-8-13 13:37:56

类型:木马-virus.vbs.crypt.c
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:QEX引擎
文件路径:D:\360安全浏览器下载\1\1.vbs
文件大小:6.3K (6,456 字节)
文件指纹（MD5）:619390452cbabde5508d170ff91e5e4f
处理建议:隔离文件

显示全部楼层 · 发表于 2023-8-13 13:41:42

腾讯电脑管家

显示全部楼层 · 发表于 2023-8-13 13:49:40

卡巴
HEUR:Trojan.VBS.Agent.gen

显示全部楼层 · 发表于 2023-8-13 14:04:43

微软：机器学习Trojan:Script/Wacatac.H!ml

显示全部楼层 · 发表于 2023-8-13 14:35:05

BD 扫描双击 miss

显示全部楼层 · 发表于 2023-8-13 15:06:58

显示全部楼层 · 发表于 2023-8-13 15:18:22

本帖最后由 swizzer 于 2023-8-13 15:19 编辑

https://d9e1c3dd-1fee-48c1-9089-09a70580408e.usrfiles[.]com/ugd/d9e1c3_971ed01f857d458ab3ec0085ecf8efa4.txt

复制代码

-> .ps1

实时防护在C:\Users\苏敬轩\Desktop\something.ps1上检测到恶意行为Heur.BZC.ZFV.Boxter.973.A2A397DC。未采取任何操作。此项目将由powershell.exe(C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)进一步处理。这是AMSI反恶意软件扫描接口检测。

复制代码

显示全部楼层 · 发表于 2023-8-13 15:48:33

swizzer 发表于 2023-8-13 15:18
-> .ps1

That's c r a z y

时间操作说明次数
2023-08-13 15:44:02 [自动阻止] 修改系统启动目录防护 14 次
详细描述：
进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
动作：试图修改
路径：C:\Users\Killer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kilng.vbs
不再提醒(0x64d889c2)
防护信息: FD|26, 823|10, -1, -1|||
2023-08-13 15:44:02 [已阻止] 修改系统启动目录防护 1 次
详细描述：
进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
动作：试图修改
路径：C:\Users\Killer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kilng.vbs
防护信息: FD|26, 823|10, 10, -1|CDA48FC75952AD12D99E526D0B6BF70A|36c5d12033b2eaf251bae61c00690ffb17fddc87|
2023-08-13 15:44:02 [已阻止] 进程创建防护 1 次
详细描述：
进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
动作：进程创建
路径：wscript
风险文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
拦截补充描述：为了您的上网安全，如果您不认识此程序，请阻止此操作。
防护信息: AD|1, 243|10, 60, -1||
2023-08-13 15:44:01 [已阻止] 进程创建防护 1 次
详细描述：
进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
动作：进程创建
路径：wscript
风险文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
拦截补充描述：为了您的上网安全，如果您不认识此程序，请阻止此操作。
防护信息: AD|1, 243|10, 60, -1||
2023-08-13 15:44:01 [已阻止] 进程创建防护 1 次
详细描述：
进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
动作：进程创建
路径：wscript
风险文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
拦截补充描述：为了您的上网安全，如果您不认识此程序，请阻止此操作。
防护信息: AD|1, 243|10, 60, -1||
2023-08-13 15:44:00 [已阻止] 远程线程注入防护 1 次
详细描述：
进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
动作：远程线程注入
路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe (6)
拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
防护信息: AD|2, 88|10, 10, -1||
2023-08-13 15:44:00 [已阻止] 远程线程注入防护 1 次
详细描述：
进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
动作：远程线程注入
路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe (6)
拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
防护信息: AD|2, 88|10, 10, -1||
2023-08-13 15:44:00 [已阻止] 远程线程注入防护 1 次
详细描述：
进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
动作：远程线程注入
路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe (6)
拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
防护信息: AD|2, 88|10, 10, -1||
2023-08-13 15:44:00 [已阻止] 远程线程注入防护 1 次
详细描述：
进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
动作：远程线程注入
路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe (6)
拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
防护信息: AD|2, 88|10, 10, -1||
2023-08-13 15:44:00 [已阻止] 远程线程注入防护 1 次
详细描述：
进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
动作：远程线程注入
路径：C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe (6)
拦截补充描述：程序正在进行远程线程注入，将代码藏匿到其他进程来运行，木马通常以此来隐藏自己的恶意行为。如果您不认识此程序，请阻止。
防护信息: AD|2, 88|10, 10, -1||

复制代码

Then it killed itself (

显示全部楼层 · 发表于 2023-8-13 18:21:38

SOPHOS

“HollowProcess”恶意行为已在 Windows PowerShell 中被阻止

复制代码

[病毒样本] powershell/downloader (2023-08-13)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源