吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5438|回复: 5
收起左侧

[分享] 调用SyncAppvPublishingServer.vbs的病毒临时处理方法

[复制链接]
Tonyha7 发表于 2022-4-12 19:49
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Tonyha7 于 2022-4-13 07:33 编辑

前言

楼主的电脑前几天不幸“中招”了(后发现是微软更新搞的鬼。。。)
因此瞎折腾了一顿,这里记录下无法定位到病毒文件时的临时解决方案。

特征

此种病毒有一定年头了,多为利用C:\Windows\System32\SyncAppvPublishingServer.vbs来启动PowerShell执行命令,从而绕过安全软件的检查来运行恶意命令。(大部分为远程脚本)

获取执行命令

原理

既然病毒启动的是vbs,我们可以从这个vbs来入手,让他把病毒执行的命令输出到文件中。

修改vbs

毕竟这是系统文件,为了防止翻车,这里先把文件复制一份,以便不时之需。



用文本编辑器打开,看看内容。



这个就很明显了,即使不会vbs,也能很轻易地看出这里是启动PowerShell的地方。
把他修改成这样



Dim psCmd
'psCmd = "powershell.exe -Command &{" & syncCmd & "}"
psCmd = "powershell.exe -Command write-output {" & syncCmd & "} | out-file -filepath C:\脑瘫病毒\catch.txt"

这样会把这样执行的命令写到文件中去。
我这里的文件是C:\脑瘫病毒\catch.txt

瓮中捉鳖

重启电脑,静静等待病毒调用SyncAppvPublishingServer.vbs执行命令。



这里抓到了获取系统日志的命令
如果发现了执行远程脚本的命令,直接用防火墙把远程地址拉黑即可。

总结

这里的方法只能临时使用,并不能定位到具体的病毒文件,最好的方法还是定位到具体文件并删除。


魔改的SyncAppvPublishingServer.rar (796 Bytes, 下载次数: 27)

免费评分

参与人数 3吾爱币 +8 热心值 +3 收起 理由
rachelhyr + 1 + 1 谢谢@Thanks!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Laign + 1 巧妙的方法

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

此花亭 发表于 2022-4-12 22:09
大佬牛逼
蓝纹鲸 发表于 2022-4-12 23:44
iloveasdl 发表于 2022-4-13 09:26
wulei1873 发表于 2022-4-14 00:17
太恐怖了 大佬确实牛逼
metoo2 发表于 2022-4-14 10:13
感谢分享,希望不会碰到这些恶意软件
wuq 发表于 2022-4-15 09:44
收藏,谢谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:00

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表