这个存储库包含恶意程序样本和逆向工程的源代码。它具有以下特性:
- Windows Defender绕过
- 键盘钩子
- Cookie窃取
- 剪切板监听
它来源于恶意用户在Github上投放病毒(该用户已被Github封禁)。该恶意程序的c2服务器为:bloxstrap.theworkpc.com(94.130.130.51:118),恶意程序样本压缩包的解压密码为:virus。
当用户运行被植入恶意程序的winexp.exe,它将./data/dotnet.dll复制为%APPDATA%/Network5540Man.cmd并运行。它会首先利用Powershell将C:/添加到排除项,随后解密释放藏在Network5540Man.cmd中的可执行程序,包含一个后门程序,和Windows Defender绕过程序。
该存储库仅用于安全行业人士学习分析目的,禁止用于其他用途,使用该代码是您的责任。