全球加密货币公司的梦魇:揭秘APT组织“危险密码”

论坛 期权论坛 期权     
网信防务   2020-1-12 01:14   2016   0
点击上方蓝字关注"网信防务"

来源:安全威胁情报













杀软检测如下,通过wmi接口遍历当前系统进程,如检测到“kwsprot”进程(金山毒霸)或“npprot”进程(NPAV防病毒保护),则使用cscript.exe执行后续的落地vbscript;反之则使用wscript.exe引擎(猜测这里是为了做动态免杀处理)。然后接着进行杀软进程名称查找,如检测到包含“hudongf”的进程(360主动防御)或“qhsafe”的进程(360杀软组件),则删除临时目录中创建的lnk文件;反之正常执行。

在未检测到相关杀软的环境下释放的文件如下。

该段vbscript中,进行一系列字符串拼接、base64解密、杀软检测之后,将执行以下shell命令。
















该段脚本将执行自解密的lhMDuTqVJi.vbs,传入参
[h1][/h1]



















扫描下方二维码,加入「网信防务」专属知识星球网空博弈论,期待与您交流!




军民共筑网络国防,捍卫共同网上家园






分享到 :
0 人收藏
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

积分:
帖子:
精华:
期权论坛 期权论坛
发布
内容

下载期权论坛手机APP