全球加密货币公司的梦魇：揭秘APT组织“危险密码”

点击上方蓝字关注"网信防务"

来源：安全威胁情报

杀软检测如下，通过wmi接口遍历当前系统进程，如检测到“kwsprot”进程（金山毒霸）或“npprot”进程（NPAV防病毒保护），则使用cscript.exe执行后续的落地vbscript；反之则使用wscript.exe引擎（猜测这里是为了做动态免杀处理）。然后接着进行杀软进程名称查找，如检测到包含“hudongf”的进程（360主动防御）或“qhsafe”的进程（360杀软组件），则删除临时目录中创建的lnk文件；反之正常执行。

在未检测到相关杀软的环境下释放的文件如下。

该段vbscript中，进行一系列字符串拼接、base64解密、杀软检测之后，将执行以下shell命令。

该段脚本将执行自解密的lhMDuTqVJi.vbs，传入参
[h1][/h1]

扫描下方二维码，加入「网信防务」专属知识星球：网空博弈论，期待与您交流！

军民共筑网络国防，捍卫共同网上家园