可疑文件

显示全部楼层 · 发表于 2023-8-15 11:01:17

压缩包密码123
任务报告：1.bat - 360沙箱云
https://ata.360.net/report/468009050236928
微步云检测不出
360：

显示全部楼层 · 发表于 2023-8-15 11:10:18

本帖最后由 GDHJDSYDH 于 2023-8-15 11:22 编辑

KFA 21.3 scan miss, Opentip detected；还有360云沙箱的报法怎么和BD系的一样

显示全部楼层 · 发表于 2023-8-15 11:24:42

本帖最后由 BitterLotus 于 2023-8-15 11:28 编辑

360 Script/Trojan.Generic.HhsATIAA
卡巴斯基 PDM: Trojan.Win32.Generic

显示全部楼层 · 发表于 2023-8-15 12:17:40

显示全部楼层 · 发表于 2023-8-15 12:52:25

GDHJDSYDH 发表于 2023-8-15 11:10
KFA 21.3 scan miss, Opentip detected；还有360云沙箱的报法怎么和BD系的一样

借鉴。

显示全部楼层 · 发表于 2023-8-15 15:09:51

GDHJDSYDH 发表于 2023-8-15 11:10
KFA 21.3 scan miss, Opentip detected；还有360云沙箱的报法怎么和BD系的一样

360云沙箱里面应该还保留了OEM BD，经常有BD报法。

显示全部楼层 · 发表于 2023-8-15 15:16:14

ChatGPT：
该代码主要进行了以下操作：

1. 删除阴影副本：使用vssadmin.exe命令删除所有阴影副本。
2. 删除系统恢复点：使用wmic shadowcopy delete命令删除所有系统恢复点。
3. 删除备份目录：使用wbadmin.exe delete catalog命令删除备份目录。
4. 修改引导配置：使用bcdedit.exe命令设置引导状态策略为忽略所有故障，并禁用系统恢复。
5. 修改注册表设置：使用reg add命令在注册表中添加或修改以下项：
- 禁用当前用户的文件夹选项。
- 禁用本地计算机的文件夹选项。
- 禁用当前用户的注册表工具。
- 禁用本地计算机的注册表工具。
6. 复制自身到启动目录：使用copy命令将当前脚本复制到"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup"目录，实现开机自启。

此外，该代码还包含了以下条件判断和操作：
- 检查并禁用防病毒软件：使用wmic命令获取防病毒软件信息，如果找到符合条件的防病毒软件，则调用Disable方法禁用它。
- 检查并禁用防火墙：使用wmic命令获取防火墙信息，如果找到符合条件的防火墙，则使用netsh命令将所有配置文件的防火墙状态禁用。

综上所述，该代码具有潜在的危险性。它删除了系统的阴影副本、恢复点和备份目录，修改了引导配置和注册表设置，并进行了一些绕过防护的操作。这些操作可能会导致数据丢失、系统异常甚至威胁到系统的安全性。因此，该代码的危险系数较高，评估为8.0。在使用时请特别谨慎，并确保在安全环境下进行测试和验证。

显示全部楼层 · 发表于 2023-8-15 15:48:13

显示全部楼层 · 发表于 2023-8-15 16:38:45

火绒扫描miss
双击：（不过每次拦截bat都显示成功咱也不知道成功了没有）

[可疑文件] 可疑文件

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源