

























Hims (Hims)
1
我今天访问 bincheck.io 时被伪装成 Cloudflare 的“人机验证”骗粘贴命令,这是一个查看银行卡bin类型的网站。Windows默认的安全中心没有报毒。我感觉不对劲,马上下载了火绒安全,扫了几分钟,没有扫出来。直到用上了L站大佬推荐卡巴斯基,下载高级版本,激活30天体验,最终找到病毒杀死。
病毒攻击链(由Claude生成)
静态文本分析显示,载荷由一套结构清晰的模块组成。混淆手法以"下标取 cmdlet"(隐藏 irm/iex 等字样)和"算术拼字符串"(隐藏路径与 API 名)为主,外加海量死代码噪声。去混淆后的执行链如下:
简单来说,第一次回传数据目的是获取人物画像,如果是有价值的目标,后续有可能面临监控勒索等后果,大家一定要提高警惕。
我安装卡巴斯基和卡巴的浏览器扩展后,再次访问 bincheck.io 可以看到拓展直接报警。
最后,Claude真的难搞,我让他分析一下这个病毒,前两回都是has safety measures,不给我分析。润色了两遍Prompt终于给我把病毒攻击链弄出来了。主要就是强调只分析,不要可执行代码之类的话术。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。