Cloudflare的最新人机验证，好高级的感觉！（中木马了，我是傻逼）

@frontecho #219 发布于2026/1/29 下午10:31:23，编辑于2026/1/29 下午10:31:51
把 xmri.network 和 wexmri.cc 这两个地址获取到的恶意脚本上传到云沙箱了
但似乎都没检查出什么，一个直接运行报错了，另一个sleep到检测结束

xmri.network: https://s.threatbook.com/report/file/6195969597f3f044d3a63d2de0d57efd7be3acfddd1e05c80220c2cee13b1881

wexmri.cc:
https://s.threatbook.com/report/file/6e9cdc06cab278377a513245f5cd532abdbf44f0182f76fdb809e0fded4e1dac

是那个ps1后缀的文件吗？

这是上了什么黄网

@fdiskmbr #221 不是，这是直接从那条命令解析出来的网址里获取的恶意脚本，应该只是第一阶段的行动（作用是在ProgramData下放置脚本和添加任务计划），所以没有查出来行为异常。它在你电脑生成的那个文件才是第二阶段攻击的恶意脚本。

太狠了

@frontecho #219

It's quite possible those are just loaders, or maybe they have good sandbox detection built-in. I did not investigate any further myself.

By the way, after deobfuscating the popup generation script, it seems it has been created with use of chatgpt/other AI tool and even includes comments like:

这些很可能只是加载器，或者它们内置了强大的沙盒检测机制。我自己没有进一步深入研究。

顺便说一句，在对弹出窗口生成脚本进行去混淆后，发现它似乎是用ChatGPT或其他AI工具生成的，甚至包含类似这样的注释：

/* --------- NEW: 6 languages (fixed / hard-coded translations) --------- */

@frontecho #223 发布于2026/1/29 下午10:56:03，编辑于2026/1/29 下午10:58:08
@fdiskmbr #221 不是，这是直接从那条命令解析出来的网址里获取的恶意脚本，应该只是第一阶段的行动（作用是在ProgramData下放置脚本和添加任务计划），所以没有查出来行为异常。它在你电脑生成的那个文件才是第二阶段攻击的恶意脚本。

等我装完系统，就把这个文件，上传沙箱读取一下！太他妈狡猾了！

真实文件是这个！

网上冲浪，安全第一

学到了。如果是我可能真会试试执行

笑死我了