¿Cómo puedo leer el código fuente de este script codificado de powershell del registro?

1

Obtengo esta línea por ProcessExplorer

  

C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe "-noprofile   -windowstyle oculto -executionpolicy bypass iex ([Text.Encoding] :: ASCII.GetString ([Convert] :: FromBase64String ((gp   'HKCU: \ Software \ Classes \ ZXWNMNLIMAGAL'). LOOTDA)))

Ahora estoy seguro de que puede ser un virus codificado cuando leo esto desde el registro:

  

Actualización de Google REG_SZ
  "C: \ Users \ michael \ AppData \ Local \ Google \ Update \ GoogleUpdate.exe" / c       {BE9473EA-5660-4BF7-91C3-2A2258213EE1} REG_SZ C: \ Windows \ system32 \ WindowsPowerShell \ v1.0 \ powershell.exe -noprofile   -windowstyle oculto -executionpolicy bypass iex ([Text.Encoding] :: ASCII.GetString ([Convert] :: FromBase64String ((gp   'HKCU: \ Software \ Classes \ ZXWNMNLIMAGAL'). LOOTDA)))

Entonces, exporté el valor de datos LOOTDA del registro y lo copio como archivo de texto y lo subo aquí

Por lo tanto, estoy buscando a cualquier experto en cifrado y descifrado para descifrar y descifrar este tipo de virus para leer su código fuente y lo que podría ser perjudicial para nosotros.

¡Gracias!

    
pregunta Hackoo 29.03.2016 - 15:36
fuente

2 respuestas

3

Este malware intenta evitar el uso de archivos y procesos haciendo que la carga útil resida en el registro y utilizando los métodos PowerSploit para cargar código directamente en la memoria a través de los comandos de PowerShell. La Invoke-ReflectivePEInjection lo regala. Pertenece a la familia de malware Terkop .

    
respondido por el Cristian Dobre 29.03.2016 - 16:01
fuente
1

No es necesario

  

cualquier experto en encriptación y descifrado

Necesitas un decodificador base64, como éste .

    
respondido por el Tobi Nary 29.03.2016 - 15:44
fuente

Lea otras preguntas en las etiquetas