一种新的无文件攻击方式（？） vbs script

显示全部楼层 · 发表于 2024-3-28 21:43:35

双击方式：先导入a.reg，然后双击vbs文件

显示全部楼层 · 发表于 2024-3-28 21:45:55

显示全部楼层 · 发表于 2024-3-28 21:48:19

本帖最后由 anxiety520 于 2024-3-28 22:01 编辑

卡巴
AMSI保护
uid://amsi_stream_15, 40 -HEUR:Trojan.Win32.Generic (Expert Analysis)
内存扫描
pmem:\C:\Users\islyi\AppData\Roaming\AddInProcess32.exe -MEM:Trojan.Win32.SEPEH.gen (Expert Analysis)

显示全部楼层 · 发表于 2024-3-28 21:50:42

Avira

Sentry联动。

显示全部楼层 · 发表于 2024-3-28 21:54:34

360miss
eset kill

显示全部楼层 · 发表于 2024-3-28 21:58:34

本帖最后由祸兮福所倚于 2024-3-28 22:20 编辑

显示全部楼层 · 发表于 2024-3-28 22:14:48

AMSI用的好，无文件攻击跑不了，S1 kill

显示全部楼层 · 发表于 2024-3-28 22:17:58

360杀毒双击miss

显示全部楼层 · 发表于 2024-3-28 22:21:16

本帖最后由 DisaPDB 于 2024-3-28 22:43 编辑

说好的分析报告呢，怎么鸽了（不是）

类型:木马-virus.vbs.qexvmc.1
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:C:\Users\Administrator\Desktop\DESKTOP-TRPB91N.vbs
文件大小:1.5K (1,485 字节)
文件指纹（MD5）:9beed264adaf601cb2202af33bfc5964
处理建议:隔离文件

复制代码

显示全部楼层 · 发表于 2024-3-28 22:30:07

本帖最后由 XywCloud 于 2024-3-29 16:08 编辑

最后内存里跑的是AsyncRAT，文件MD5是ED0EF6ABA68C72222C82B0AD76863531
https://mp.weixin.qq.com/s/La1mTrFAhZ8g_iXfMcFJvg

[病毒样本] 一种新的无文件攻击方式（？） vbs script

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分