#VBE 银狐样本 1X（10.27）

显示全部楼层 · 发表于 2023-10-27 18:57:28

把vbe解密了一下，vbs内容和之前js=>html=>chm那个差不多

显示全部楼层 · 发表于 2023-10-27 22:30:47

显示全部楼层 · 发表于 2023-10-27 22:56:01

卡巴扫描不杀

双击主防杀：

显示全部楼层 · 发表于 2023-10-28 10:32:43

WD：Trojan:Win32/Znyonm

显示全部楼层 · 发表于 2023-10-28 11:19:28

卡巴斯基未拦截，扫描安全

显示全部楼层 · 发表于 2023-10-29 00:44:51

华为乾坤EDR

云端依旧看不到还是得挖日志（
执行到svchost.exe 就结束了

[2023-10-29 00:32:31.571][Info] [5204] [GRAPH THREAT ROOT]: [filePath] C:\Windows\System32\wscript.exe, [rootType] EMPTY, [hitRule] TN0957
[2023-10-29 00:32:31.573][Info] [5204] [HIPS ALERT]: Push, [ALERT INFO]: [threat_num]:TN0957, [severity]:1, [confidence_level]:50, [attack_count]:1, [ori_evt_count]:1, [disposal_count]:0
[2023-10-29 00:32:31.573][Info] [5204] [HIPS ATTACK EVIDENCE]: [FILE INFO] [operation_type]:1, [pid]:4496, [process_name]:wscript.exe, [file_path]:C:\Users\RhineLab\AppData\Local\Temp\sXLo5VyYcIP9pELMy7PhawGELFbkCmWlhH1v3axdiFBgGEVrFedp24\svchost.exe, [attr]:32
[2023-10-29 00:32:31.573][Info] [5204] [HIPS PERF ANALYSE]: [TIME CONSUME]:4(ms), [BYTE SIZE]:593

复制代码

[病毒样本] #VBE 银狐样本 1X（10.27）