可疑ps1脚本

biue

腾讯电脑管家 1X

pal家族

目前ps1脚本和dll 卡巴都可以杀了、

飞翔的蒲公英

安天智甲扫描miss，双击miss。
云溪杀毒扫描miss，双击当场拦截。果然云溪杀毒的主防内核要比智甲的新一些。


云溪杀毒日志：
2025-05-03 09:51:36    发现威胁   
行为: 进程行为
处置: 阻止
处置结果: 已阻止
威胁等级: 3
客体: C:\Windows\explorer.exe
主体: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
行为tag: 启动进程

GDHJDSYDH

EIS扫描miss，沙盒内运行冰盾拦截一次然后脚本出错自退，EIS击杀衍生物dll

LeeHS

cortex 跑不起來 可能miss

1073328164

迈克菲 kill

骨灰级小白

实机WD MISS，毛豆入沙

tomochan

avast 扫描miss双击注入防护拦截

aikafans

aboringman 发表于 2025-6-9 22:48
360：

ui还挺好看，一开始以为是malwarebytes

图钉鱼

这段PowerShell脚本执行明显的恶意特征：

1. 创建隐藏目录：在%APPDATA%\Microsoft\Credentials创建暂存目录，伪装为合法凭据存储位置。
2. 生成ZIP文件：将十六进制数据（`$hexData`）解码为字节，写入LightYellow4.zip。
3. 随机延时：暂停4-8秒，规避沙箱检测。
4. 解压并删除ZIP：解压LightYellow4.zip到同一目录，生成LightYellow4.pfx，删除ZIP文件以清除痕迹。
5. 再次延时：暂停3-6秒。
6. 处理PFX文件：
读取LightYellow4.pfx，查找<<MARINA_START>>和<<MARINA_END>>标记。
提取标记间或标记后的内容（若无标记，保留原内容），写回PFX文件。
搜索文件中<<MARINA_START>>和<<MARINA_END>>的字节位置。
如果找到两个标记：
查找第二个<<MARINA_START>>。
如果存在第二个开始标记，提取从第一个<<MARINA_END>>到第二个<<MARINA_START>>之间的内容。
如果没有第二个开始标记，提取从第一个<<MARINA_END>>到文件末尾的内容。如果未找到标记，保留原始文件内容。

保存处理后的PFX文件。

7. 第三次延时：暂停2-4秒。
8. 注册PFX文件：使用regsvr32.exe以静默模式（/s）和参数/i:googlechromebusiness.msi加载LightYellow4.pfx，此操作异常（DLL伪装）。
9. 最后延时：暂停3-6秒。


提取内嵌恶意样本代码，我提取的样本和楼上的不一致，原因未知。（python实现，自行添加样本的十六进制字符串代码在对应位置）

1. import os
   
2. import binascii
   
3. import time
   
4. import random
   
5. import zipfile
   
6. 
   
7. # 设置 staging 目录
   
8. # 使用当前工作目录作为 staging 目录
   
9. staging_dir = os.getcwd()
   
10. if not os.path.exists(staging_dir):
    
11.     os.makedirs(staging_dir)
    
12. 
    
13. # 定义 zip 文件路径
    
14. # 在 staging_dir 下创建名为 LightYellow4.zip 的文件路径
    
15. zip_path = os.path.join(staging_dir, 'LightYellow4.zip')
    
16. 
    
17. # hex_data 占位符（请替换为实际的十六进制字符串）
    
18. # 该字符串应代表一个包含 LightYellow4.pfx 的 zip 文件
    
19. hex_data = "..."  # 替换为有效的十六进制字符串
    
20. 
    
21. # 将十六进制数据转换为字节并写入 zip 文件
    
22. try:
    
23.     # 验证 hex_data 是否为有效的十六进制字符串
    
24.     if not all(c in '0123456789abcdefABCDEF' for c in hex_data) or len(hex_data) % 2 != 0:
    
25.         raise ValueError("hex_data 不是有效的十六进制字符串")
    
26.     # 使用 binascii.unhexlify 将 hex_data 转为字节
    
27.     data = binascii.unhexlify(hex_data)
    
28.     with open(zip_path, 'wb') as f:
    
29.         f.write(data)
    
30. except (binascii.Error, ValueError) as e:
    
31.     print(f"错误：无法将 hex_data 转换为字节 - {e}")
    
32.     exit(1)
    
33. 
    
34. 
    
35. 
    
36. # 解压 zip 文件到 staging 目录
    
37. try:
    
38.     with zipfile.ZipFile(zip_path, 'r') as zip_ref:
    
39.         # 验证 zip 文件是否有效
    
40.         zip_ref.testzip()
    
41.         zip_ref.extractall(staging_dir)
    
42. except zipfile.BadZipFile:
    
43.     print(f"错误：{zip_path} 不是一个有效的 zip 文件，请检查 hex_data")
    
44.     exit(1)
    
45. except Exception as e:
    
46.     print(f"解压失败：{e}")
    
47.     exit(1)
    
48. 
    
49. # 删除 zip 文件
    
50. # 解压完成后移除临时的 LightYellow4.zip 文件
    
51. try:
    
52.     os.remove(zip_path)
    
53. except OSError as e:
    
54.     print(f"警告：无法删除 {zip_path} - {e}")
    
55. 
    
56. 
    
57. 
    
58. # 读取 pfx 文件
    
59. # 打开解压后的 LightYellow4.pfx 文件并读取其二进制内容
    
60. drv_file = os.path.join(staging_dir, 'LightYellow4.pfx')
    
61. try:
    
62.     with open(drv_file, 'rb') as f:
    
63.         drv_content = f.read()
    
64. except FileNotFoundError:
    
65.     print(f"错误：未找到 {drv_file}，请确保 zip 文件包含 LightYellow4.pfx")
    
66.     exit(1)
    
67. except Exception as e:
    
68.     print(f"读取 {drv_file} 失败：{e}")
    
69.     exit(1)
    
70. 
    
71. # 定义标记
    
72. # 设置用于查找的开始和结束标记，用于处理 pfx 文件内容
    
73. start_marker = b'<<MARINA_START>>'
    
74. end_marker = b'<<MARINA_END>>'
    
75. 
    
76. # 在内容中查找标记
    
77. # 查找 start_marker 和 end_marker 的位置，决定保留哪些内容
    
78. start_index = drv_content.find(start_marker)
    
79. if start_index != -1:
    
80.     end_index = drv_content.find(end_marker, start_index + len(start_marker))
    
81.     if end_index != -1:
    
82.         end_index += len(end_marker)
    
83.         second_start_index = drv_content.find(start_marker, end_index)
    
84.         if second_start_index != -1:
    
85.             # 如果找到第二个 start_marker，保留 end_marker 之后到第二个 start_marker 之前的内容
    
86.             clean_drv_content = drv_content[end_index:second_start_index]
    
87.         else:
    
88.             # 如果没有第二个 start_marker，保留 end_marker 之后的内容
    
89.             clean_drv_content = drv_content[end_index:]
    
90.     else:
    
91.         # 如果没有 end_marker，保留全部内容
    
92.         clean_drv_content = drv_content
    
93. else:
    
94.     # 如果没有 start_marker，保留全部内容
    
95.     clean_drv_content = drv_content
    
96. 
    
97. 
    
98. # 将清理后的内容写回文件
    
99. # 将处理后的内容重新写入 LightYellow4.pfx 文件
    
100. try:
     
101.     with open(drv_file, 'wb') as f:
     
102.         f.write(clean_drv_content)
     
103. except Exception as e:
     
104.     print(f"写入 {drv_file} 失败：{e}")
     
105.     exit(1)
     
106. 
     

复制代码

运行后生成一个LightYellow4.pfx文件，实际是DLL文件。md5:46c2910906818aa89cb308f8e11b189f