私に郵送された可能性のあるシェルコード
今朝メールを開いたとき、メールボックスにかなり奇妙なメッセージがありました。 base64でエンコードされた文字列のように見えたので、毎日のスパムメールのようには見えませんでした。メールのスクリーンショットは次のとおりです。
デコーダーで実行してみましたが、16進数にデコードした後、 this Webサイトのマルウェアアナライザーで実行しましたが、アセンブリコードの可能性があります。
電子メールには奇妙なヘッダーもあります:X-phsgyov: twxmjuo says、これは電子メールが作成されたように見えます。
私の質問は、これが何であるかについて誰かが何か知識を持っているかということです。私がこれまでに見つけたもののPastebinリンクがあります ここ 。
メッセージの解釈では、コンピューターでは実行されない手順を実行しています。base64デコードプロセスの出力がASCIIエンコードされた16進数であり、逆アセンブリプロセスを実行する前にバイナリに変換すると想定しています。メッセージの最初の数バイトは次のとおりです(注:5の前に改行があります
571266161278423
16進値付き
0a 35 37 31 32 36 36 31 36 31 32 37 38 34 32 33
に分解する
0000: or dh,(di)
0002: aaa
0003: xor (bp:si),si
0005: seg ss
0006: seg ss
0007: xor $3231,si
000b: aaa
000c: cmp (si),dh
000e: xor dh,(bp:di)
これはまったくナンセンスです。メッセージに隠された意味があるかもしれませんが、それはシェルコードではありません。