agenttesla (2023-09-04)

显示全部楼层 · 发表于 2023-9-4 17:51:16

蜘蛛阻止运行，不杀本体

显示全部楼层 · 发表于 2023-9-4 17:59:40

显示全部楼层 · 发表于 2023-9-4 18:00:58

SEP 扫描miss 双击拦截

ESET 扫描miss 双击miss

显示全部楼层 · 发表于 2023-9-4 18:07:36

本帖最后由 xjwtzq 于 2023-9-4 18:12 编辑

360双击kill , BDTS miss

显示全部楼层 · 发表于 2023-9-4 18:39:12

eset BAT/Agent.PZX

显示全部楼层 · 发表于 2023-9-4 18:40:56

本帖最后由 sanhu35 于 2023-9-4 18:55 编辑

双击脚本后，cmd启动xcopy

行为: 创建进程
拦截规则: [结束]脚本攻击(执行)
响应动作: 询问（允许）
拦截时间: 2023-09-04 18:31:57
拦截次数: 1
进程名称: cmd.exe
进程路径: C:\Windows\System32\cmd.exe
进程命令行: C:\Windows\system32\cmd.exe  /K "C:\Users\Administrator\Desktop\a.bat"
操作目标: C:\Windows\System32\xcopy.exe

行为: 创建进程
拦截规则: [结束]脚本攻击(执行)
响应动作: 询问（允许）
拦截时间: 2023-09-04 18:31:59
拦截次数: 1
进程名称: cmd.exe
进程路径: C:\Windows\System32\cmd.exe
进程命令行: C:\Windows\system32\cmd.exe  /K "C:\Users\Administrator\Desktop\a.bat"
操作目标: C:\Windows\System32\cmd.exe

xcopy 把powershell复制到Temp\Iexjumv.png

行为: 创建进程
拦截规则: [结束]脚本攻击(执行)
响应动作: 询问（允许）
拦截时间: 2023-09-04 18:32:05
拦截次数: 1
进程名称: cmd.exe
进程路径: C:\Windows\System32\cmd.exe
进程命令行: C:\Windows\system32\cmd.exe  /K "C:\Users\Administrator\Desktop\a.bat"
操作目标: C:\Windows\System32\xcopy.exe

创建一个副本，启动 Iexjumv.png

行为: 创建进程
拦截规则: [结束]脚本攻击(执行)
响应动作: 询问（允许）
拦截时间: 2023-09-04 18:32:23
拦截次数: 1
进程名称: cmd.exe
进程路径: C:\Windows\System32\cmd.exe
进程命令行: C:\Windows\system32\cmd.exe  /K "C:\Users\Administrator\Desktop\a.bat"
操作目标: C:\Users\ADMINI~1\AppData\Local\Temp\Iexjumv.png

启动Iexjumv.png 执行-enc加密脚本

行为: 操作文件
拦截规则: [保护]写入非常用文件(新建)
响应动作: 询问（允许）
拦截时间: 2023-09-04 18:32:49
拦截次数: 1
进程名称: Iexjumv.png
进程路径: C:\Users\ADMINI~1\AppData\Local\Temp\Iexjumv.png
进程命令行: C:\Users\ADMINI~1\AppData\Local\Temp\Iexjumv.png  -win 1 -enc xxxxxxx此处省略500字xxxxxxxxxxxxx
操作目标: C:\Users\Administrator\AppData\Roaming\Microsoft\Iexjumv.bat

添加持久化启动

行为: 设置注册表值
拦截规则: 智能防护(添加开机启动)
响应动作: 询问（拦截）
拦截时间: 2023-09-04 18:33:13
拦截次数: 1
进程名称: Iexjumv.png
进程路径: C:\Users\ADMINI~1\AppData\Local\Temp\Iexjumv.png
进程命令行: C:\Users\ADMINI~1\AppData\Local\Temp\Iexjumv.png  -win 1 -enc xxxxxxx此处省略500字xxxxxxxxxxxxx
操作目标: HKEY_USERS\S-1-5-21-1483919265-625996483-2981065774-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|pXgPYRv=C:\Users\Administrator\AppData\Roaming\pXgPYRv\pXgPYRv.exe

使用的命令行

xcopy  /d /q /y /h /i C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Users\ADMINI~1\AppData\Local\Temp\Iexjumv.png

xcopy  /d /q /y /h /i C:\Users\Administrator\Desktop\a.bat C:\Users\ADMINI~1\AppData\Local\Temp\Iexjumv.png.bat

显示全部楼层 · 发表于 2023-9-4 18:53:04

McAfee
ti!2A9FE3F93E04

显示全部楼层 · 发表于 2023-9-4 19:17:54

类型:木马-Script/Trojan.Generic.HhsATJQA
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:D:\360安全浏览器下载\a\a.bat
文件大小:955.3K (978,260 字节)
文件指纹（MD5）:52abaf31262b4e9f4c529ced77bc633f
数字签名:
数字签名是否有效:无效
处理建议:隔离文件

显示全部楼层 · 发表于 2023-9-4 19:21:42

Tencent遇到有关Tencent的东东，十分灵敏

【扫描信息】

开始时间:2023-9-4 19:20:27
扫描用时:00:00:01
扫描类型:自定义扫描
扫描状态:扫描完成

【扫描结果】

扫描文件数:2
发现风险数:1
已处理风险数:1

---------------------
2023-9-4 19:20:34 MD5:52abaf31262b4e9f4c529ced77bc633f C:\Users\DELL\Desktop\a.bat [Bat.Trojan-QQPass.QQRob.rwhl] [删除成功]
---------------------

[病毒样本] agenttesla (2023-09-04)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源