ps1脚本

显示全部楼层 · 发表于昨天 15:52

本帖最后由御坂14857号于 2025-7-12 17:37 编辑

下载：

vt初次上传检出0x，微步判定未知，opentip动态分析报恶意
https://www.virustotal.com/gui/f ... 1af3d4cb3?nocache=1
https://s.threatbook.com/report/ ... afdbe0975f1af3d4cb3
https://opentip.kaspersky.com/26 ... /results?tab=upload

显示全部楼层 · 发表于昨天 16:03

elg分析了两秒，被过

2025/7/12 16:02:35;ESET 内核;ESET LiveGuard 正在分析文件，以确保其可安全使用。我们会在几分钟后给您发送通知。取消阻止文件(不建议)更改设置;SYSTEM
2025/7/12 16:02:37;ESET 内核;ESET LiveGuard 已完成分析文件。可以安全使用。;SYSTEM

显示全部楼层 · 发表于昨天 16:03

本帖最后由 hellohere 于 2025-7-12 16:06 编辑

ulyanov2233 发表于 2025-7-12 16:03
elg分析了两秒，被过

我elg也被过了7/12/2025 4:01:32 PM;ESET 内核;ESET LiveGuard 正在分析文件，以确保其可安全使用。我们会在几分钟后给您发送通知。取消阻止文件(不建议)更改设置;DESKTOP-GEOGLT2\guo
7/12/2025 4:01:35 PM;ESET 内核;ESET LiveGuard 已完成分析文件。可以安全使用。;DESKTOP-GEOGLT2\guo

显示全部楼层 · 发表于昨天 16:06

本帖最后由莒县小哥于 2025-7-12 16:42 编辑

显示全部楼层 · 发表于昨天 16:13

本帖最后由 ulyanov2233 于 2025-7-12 16:34 编辑

hxxps://cryptotabber.com/upd.zip

这个是攻击载荷的下载网址，下载之后elg被过，

2025/7/12 16:16:11;ESET 内核;ESET LiveGuard 正在分析文件，以确保其可安全使用。我们会在几分钟后给您发送通知。取消阻止文件(不建议)更改设置;firefly\Y8219
2025/7/12 16:16:16;ESET 内核;ESET LiveGuard 正在分析文件，以确保其可安全使用。我们会在几分钟后给您发送通知。取消阻止文件(不建议)更改设置;SYSTEM
2025/7/12 16:17:17;ESET 内核;ESET LiveGuard 已完成分析文件。可以安全使用。;SYSTEM

【upd_2】链接：https://qfile.qq.com/q/Myzq4w7kwE 密码:infected
vt50分钟前有人首发:VirusTotal - File - f525e798358adbe9c0435e23d1ff6d2aec1810c5c5055e6176848464720c46d2
微步云鉴定完毕:样本报告-微步在线云沙箱这是个偷虚拟货币的stealer通信地址:45.134.26.74

显示全部楼层 · 发表于昨天 16:24

莒县小哥发表于 2025-7-12 16:06
MD扫描不杀

下我的衍生物试试看看，vt上md没有报

显示全部楼层 · 发表于昨天 16:29

ulyanov2233 发表于 2025-7-12 16:24
下我的衍生物试试看看，vt上md没有报

不杀

显示全部楼层 · 发表于昨天 16:35

本帖最后由 lsop1349987 于 2025-7-12 16:51 编辑

emsi双击kill/Avira双击miss/avast双击kill

2025/7/12 16:35:18
行为监控检测可疑行为 "TrojanDownloader" 来自于 C:\Users\user000\Desktop\download.ps1 (SHA1: CD9315EF76223A59B3C18BA2B94E0BCF1C9569A8)

复制代码

显示全部楼层 · 发表于昨天 16:58

本帖最后由 ulyanov2233 于 2025-7-12 17:00 编辑

lsop1349987 发表于 2025-7-12 16:35
emsi双击kill/Avira双击miss/avast双击kill

avast 拦截的很早，没见到攻击载荷就拦截了，这个脚本已经把我的虚拟机干废了，卡巴反复触发高级清扫

1. 系统信息收集
代码首先收集了大量系统信息：

硬编码的ID (a906389f-515b-485c-bbde-40bea2a96950)

当前用户名 ($env:USERNAME)

计算机名 ($env:COMPUTERNAME)

操作系统名称和版本

计算机制造商和型号

PowerShell版本

当前用户是否是管理员

安装的杀毒软件信息

2. 数据上报功能
LogStep函数用于将收集的信息发送到远程服务器：

构造URL指向 https://otmuqi.com/maositqwjasfa

包含所有收集的系统信息作为URL参数

使用Invoke-WebRequest发送GET请求

静默处理所有错误（try-catch空块）

3. 文件下载
从 https://cryptotabber.com/upd.zip 下载ZIP文件

保存到临时目录 ($env:TEMP\upd.zip)

最多尝试3次下载

无论成功失败都会上报状态

4. 文件解压
尝试在多个位置解压：

%LOCALAPPDATA%

%APPDATA%

文档/下载目录

临时目录

创建随机名称的隐藏文件夹 (upd_<随机字符串>)

使用系统API解压文件

上报解压结果

5. 执行程序
在解压目录中查找第一个.exe文件

如果找不到则上报失败

显示全部楼层 · 发表于昨天 17:08

[病毒样本] ps1脚本

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源