VT链接如下
https://www.virustotal.com/gui/file/4b9d00b528c77b79dfa9a94c0a47d80b9dd741626b06a2a44e2cc5e146c12c90/details
本地拿到样本后,解压发现是个批处理文件,文件名为"CXK-NMSL.bat"。
MD5
716df67dd657937fc4e8ed1c7235cf6c
SHA-1
b3615afb97f2143b56df5b75fb62f91b3baa3884
SHA-256
4b9d00b528c77b79dfa9a94c0a47d80b9dd741626b06a2a44e2cc5e146c12c90
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
killpy 有一大段的echo指令,对这些内容提取后,生成相应的js文件对其进行解压,由于在查看时末尾发现"=="符号,自然而然就直接对其进行base64解码,文件以PK开头,发现是一个zip ...