随机 powershell.exe 进程？

Question

这几乎肯定是恶意的。

让我们来分析一下。它-noprofile在隐藏窗口 ( -windowstyle hidden) 中调用 Windows PowerShell（一个合法且非常有用的命令解释器），无需用户自定义 ( )，从而允许 PowerShell 会话运行脚本，而不管系统策略如何 ( -executionpolicy bypass)。然后它运行以下命令：

iex ([Text.Encoding]::ASCII.Get.String([Convert]::FromBase64string((gp'HKCU:\Software\Classes\SAJELFZIXHQTV').ADUXJH)))

gp意味着Get-ItemProperty，它可用于检索注册表项的值，这就是它在这里所做的。显然，SAJELFZIXHQTV当前用户Software\Classes密钥中有一个键名为。该键有一个名为的值ADUXJH，其中的数据就是要gp检索的内容。然后，该数据（显然是一个字符串）是Base64-解码为字节数组（FromBase64String）。然后将这些字节解释为 ASCII 文本（ASCII.GetString）。奇怪的是，原始文件中有一个多余的点，这应该会导致错误，因为该ASCII对象没有名为的成员Get。不过，考虑到这个过程仍然存在，我怀疑多余的点只是一个转录错误。

如果没有该错误，则结果文本将作为 PowerShell 命令 ( iex) 调用。简而言之，此命令旨在从注册表加载编码脚本并执行它。要确切了解它正在运行的内容，请将上面的 PowerShell 命令（减去iexand 并删除多余的点）复制到 PowerShell 提示符中并运行它。它将打印将要调用的命令。它几乎肯定不是良性的。

您可以使用以下命令阻止该条目自动启动自动运行工具。但是，最好对您的机器进行更深入的清理，因为它可能已被感染。请参阅如何从我的电脑中删除恶意间谍软件、恶意软件、广告软件、病毒、木马或 rootkit？

Answer 1

这几乎肯定是恶意的。

让我们来分析一下。它-noprofile在隐藏窗口 ( -windowstyle hidden) 中调用 Windows PowerShell（一个合法且非常有用的命令解释器），无需用户自定义 ( )，从而允许 PowerShell 会话运行脚本，而不管系统策略如何 ( -executionpolicy bypass)。然后它运行以下命令：

iex ([Text.Encoding]::ASCII.Get.String([Convert]::FromBase64string((gp'HKCU:\Software\Classes\SAJELFZIXHQTV').ADUXJH)))

gp意味着Get-ItemProperty，它可用于检索注册表项的值，这就是它在这里所做的。显然，SAJELFZIXHQTV当前用户Software\Classes密钥中有一个键名为。该键有一个名为的值ADUXJH，其中的数据就是要gp检索的内容。然后，该数据（显然是一个字符串）是Base64-解码为字节数组（FromBase64String）。然后将这些字节解释为 ASCII 文本（ASCII.GetString）。奇怪的是，原始文件中有一个多余的点，这应该会导致错误，因为该ASCII对象没有名为的成员Get。不过，考虑到这个过程仍然存在，我怀疑多余的点只是一个转录错误。

如果没有该错误，则结果文本将作为 PowerShell 命令 ( iex) 调用。简而言之，此命令旨在从注册表加载编码脚本并执行它。要确切了解它正在运行的内容，请将上面的 PowerShell 命令（减去iexand 并删除多余的点）复制到 PowerShell 提示符中并运行它。它将打印将要调用的命令。它几乎肯定不是良性的。

您可以使用以下命令阻止该条目自动启动自动运行工具。但是，最好对您的机器进行更深入的清理，因为它可能已被感染。请参阅如何从我的电脑中删除恶意间谍软件、恶意软件、广告软件、病毒、木马或 rootkit？

随机 powershell.exe 进程？

答案1

相关内容