Es ist ein Malware-Loader.
Es führt einen Powershell-Code aus, der mit New-Object System.N...
(in den Nummern versteckt ) beginnt, was in vollem Umfang der ist New-Object System.Net.WebClient
, der dazu verwendet wird, die eigentliche Malware von der URL herunterzuladen und auszuführen, die auch in den weiteren Nummern des verschleierten Codes versteckt ist.
Wenn Sie bereits auf den Link geklickt haben, sind Sie wahrscheinlich bereits infiziert, es sei denn, die URL wurde bereits entfernt.
Sie können versuchen, Ihre Zeile in den Notizblock einzufügen und alles vorher zu löschen ( -JoiN( (
, den restlichen Teil (beginnend mit ( -JoiN( (
...) zu kopieren und in das PowerShell-Fenster einzufügen. Es wird den verschleierten PowerShell-Code offen legen, der normalerweise vom vorhergehenden $pshOmE[4]+$PShoMe[30]+'X')
= iex
= ausgeführt wird Invoke-Expression
.