Comments 6
опять mshta. когда этот троян уже мелкомягкие выпилят наконец?
CScript, WScript, MSHTA, WMIC, PS, cmd... Сотни их. Тут не выпиливать надо, а переделывать почти полностью окружение ОС.
но из этого набора только mshta и powershell умеют выполнять скрипты напрямую из Интернета, а также выполнять eval(). Всё остальное (ЕМНИП и cscript/wscript) вначале нуждаются в сохранении скрипта в файл, а там его может поймать какой-нибудь каспер, ну или SRP на худой конец. При этом mshta это де-факто браузер, но не обновлявшийся чертову прорву лет, остальное хотя бы консольные приложения. Поэтому и любят его атакеры.
Sign up to leave a comment.
Охота на Emmenhtal: как мы восстановили полную kill chain банковского трояна с переформатированного диска