可疑ps1脚本

御坂14857号

https://wwqr.lanzouu.com/izbbs2yfzgwf
https://wormhole.app/YZWlLm#P-jEO9vOWnd4eInX1amKfg
https://c.wss.pet/f/h7la2hlskjv

vt首次上传 0检出，微步判定恶意
https://www.virustotal.com/gui/f ... d4a2af512aacc82ed02
https://s.threatbook.com/report/ ... d4a2af512aacc82ed02

邀请各位坛友测试一下这个文件

莒县小哥

lsop1349987

emsisoft

1. 2025/6/9 21:13:31
   
2. 通知： "Gen:Variant.Barys.495506 (B) C:\Users\user\AppData\Roaming\Microsoft\Credentials\LightYellow4.pfx 检测到威胁并隔离。"

复制代码

pal家族

OP跑不出任何结果
转人工

呼啸山庄

恶意dll来喽
https://wwim.lanzouo.com/iYBoY2yg50qj
密码:caux
压缩包密码：infected

VT 23/72  https://www.virustotal.com/gui/f ... e96bf12fa6789017ecf
ALYac    2.0.0.10    20250609    Gen:Variant.Barys.495506
AVG    23.9.8494.0    20250609    Win32:MalwareX-gen [Inj]
Arcabit    2022.0.0.18    20250609    Trojan.Barys.D78F92
Avast    23.9.8494.0    20250609    Win32:MalwareX-gen [Inj]
Avira    8.3.3.20    20250609    TR/AVI.Inj.uzmzu
BitDefender    7.2    20250609    Gen:Variant.Barys.495506
Bkav    2.0.0.1    20250609    W32.AIDetectMalware
CTX    2024.8.29.1    20250609    dll.unknown.barys
CrowdStrike    1.0    20231026    win/malicious_confidence_60% (D)
Cylance    3.0.0.0    20250529    Unsafe
Cynet    4.0.3.4    20250609    Malicious (score: 99)
ESET-NOD32    31334    20250609    a variant of WinGo/Injector.FE
Elastic    4.0.208    20250528    malicious (high confidence)
Emsisoft    2024.8.0.61147    20250609    Gen:Variant.Barys.495506 (B)
F-Secure    18.10.1547.307    20250609    Trojan.TR/AVI.Inj.uzmzu
Fortinet    7.0.30.0    20250609    W32/PossibleThreat
GData    GD:27.40631AVA:64.29309    20250609    Gen:Variant.Barys.495506
Google    1749463273    20250609    Detected
Ikarus    6.4.16.0    20250609    Trojan.WinGo.Agent
MicroWorld-eScan    14.0.409.0    20250609    Gen:Variant.Barys.495506
Rising    25.0.0.28    20250609    Trojan.Injector!8.C4 (TFE:5:WgTbCKlbBRH)
Trapmine    4.0.4.0    20250515    malicious.high.ml.score
VIPRE    6.0.0.35    20250608    Gen:Variant.Barys.495506

驭龙

SESC16 自适应防御体系，我第一次见它被触发

呼啸山庄

pal家族 发表于 2025-6-9 21:42
OP跑不出任何结果
转人工

已经转UDS了（估计OPENTIP的Win7跑不出来的锅）

1. 事件: 检测到恶意对象
   
2. 用户:
   
3. 用户类型: 活动用户
   
4. 组件: 病毒扫描
   
5. 结果: 检测到
   
6. 结果描述: 检测到
   
7. 类型: 木马
   
8. 名称: UDS:Trojan.Win32.Gatak
   
9. 精确度: 确切
   
10. 威胁级别: 高
    
11. 对象类型: 文件
    
12. 对象名称: LightYellow4.dll
    
13. 对象路径: D:\MalwareSamples\bbs.kafan.cn\2282044
    
14. 对象的 MD5: 8D5EFB1A0FA37E96BF12FA6789017ECF
    
15. 原因: 云保护

复制代码

pal家族

呼啸山庄 发表于 2025-6-9 22:47
已经转UDS了（估计OPENTIP的Win7跑不出来的锅）

十分钟前我在OP上传dll 还是绿色的

aboringman

360：

1. 2025-06-09 22:47:41        [已清除]          发现木马：Win32/Trojan.Generic.HgkATxgA        防护 1 次
   
2. 详细描述：
   
3. 木马名称：Win32/Trojan.Generic.HgkATxgA
   
4. 所在路径：C:\Users\123aaa\AppData\Roaming\Microsoft\Credentials\LightYellow4.pfx
   
5. 
   
6. 2025-06-09 22:47:40        [自动阻止]          进程创建        防护 1 次
   
7. 详细描述：
   
8. 进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
   
9. 动作：进程创建
   
10. 路径：C:\Windows\System32\regsvr32.exe
    
11. 拦截补充描述：有木马试图攻击您的电脑，360已成功拦截。
    
12. 
    
13. 防护信息: AD|1, 4|10, -1, 70||

复制代码

Quick Heal：0

运行一段时间后，新的弹窗出现了（

终止了powershell进程

心醉咖啡

火绒6.8库扫描miss