Isto é definitivamente malware!
Basicamente, este é um malware com vários estágios. Até agora eu passei por:
Estágio 1 (o arquivo .lnk)
Faz o download e executa o código do powershell a partir do link
Estágio 2
O código PowerHell baixado contém uma cópia fiel do link , que parece para ser um desvio do UAC. Em seguida, ele faz o download e executa (como admin) um arquivo em lotes.
Estágio 3
O arquivo em lote primeiro tenta desabilitar todos os componentes do Windows Defender (drivers, tarefas agendadas, entradas de execução automática) e adiciona diretivas de grupo a esse efeito. Em seguida, ele faz o download e executa dois arquivos. Vou postar links totais de vírus para os arquivos.
O primeiro parece ser um malware reconhecido. Considerando que o segundo é um instalador NSIS que ainda tenho que analisar completamente. Parece substituir o arquivo hosts
do sistema por seu próprio, redirecionando muitos domínios para o 80.241.222.137 e instalando um certificado raiz.