Datei mit Powershell-Code aus Versehen geöffnet

blz

Cadet 3rd Year
Registriert
Nov. 2013
Beiträge
45
Hallo,
ich war unachtsam und habe ärgerlicherweise auf eine Datei doppelgeklickt.
Die Datei war als *.avi getarnt (und seltsamerweise auch entsprechend groß). Windows hat sie allerdings als Verknüpfung dargestellt.
Wenn ich Rechtsklick --> Bearbeiten wähle, erscheint ein Skript mit vielen kryptischen Zeichen und zwischendrin einige (Powershell?) Befehle im Klartext. Ich verstehe die Befehle allerdings nicht. Ich habe den Code in ein neues Textdokument kopiert (nur noch 421 kb) und hänge das jetzt hier an.
(Die "krpytischen Befehle" werden darin scheinbar mit einem anderen Zeichensatz dargestellt. Ich weiß nicht, ob diese auch wichtig sind, oder ob es nur auf den Klartext ankommt.)
Vielen Dank
 

Anhänge

Wo hast du Datei den her?
Im Zweifel die Kiste platt machen und Backup einspielen.
 
Was ist denn deine Frage?
 
blz schrieb:
Die "krpytischen Befehle" werden darin scheinbar mit einem anderen Zeichensatz dargestellt. Ich weiß nicht, ob diese auch wichtig sind, oder ob es nur auf den Klartext ankommt.
Das ist ne Binary. Die muss erstmal durch nen Decompiler gejagt werden, damit da was erkennen kann. Das was du da im Klartext siehst sind Pfade in der Windows Registry.
 
Das ist eine Binary (EXE, erkennbar an den ersten zwei Bytes/Buchstaben "MZ") die was nachlädt. Das PowerShell Script ist da als String/Blob integriert (ist verschlüsselt).
Deinen Rechner sowie alle Passwörter die du seit Ausführung eingegeben hast, solltest du als kompromittiert einstufen. Mach deinen Rechner schleunigst platt falls er nicht schon verschlüsselt wurde. Anschließend Neuinstallation und Passwörter ändern!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: scooter010, Sun_set_1 und areiland
Ohne Garantie: Das scheint einfach "nur" die powershell.exe zu sein aus dem April 2018 Update. Virustotal erkennt aktuell nichts.

Edit: Ich lade mal das Update und verifiziere das ;)
 
  • Gefällt mir
Reaktionen: areiland
  • Gefällt mir
Reaktionen: Smurfy1982
Vermutlich aber nur ein Teil des ganzen Pakets. Er schreibt ja selbst, dass die Datei plötzlich nur noch 420 kB groß war. Woher er sie hat und wie sie entstanden ist, ist noch nicht klar.
 
@areiland: Jap, passt ;) Beim Vergleich passen einige wenige Hex 00/20 Werte nicht, weil die Datei als Text hochgeladen wurde.

Dennoch ist ungeklärt, was genau passiert ist...
 
@Smurfy1982

Warez, Porno etc.
Was soll da schon passiert sein?

Bei Heise, Computerbase oder Netflix stecken relativ selten versteckte EXE in einem AVI-Container, welche dann auch noch einen offensichtlich verschlüsselten / obfuscated Payload haben.

Wie gesagt, System kompromittiert. Neu Aufsetzen bleibt die einzige Lösung. Wenn der Windows Defender den Container nicht erkannt hat, wirds nen relativ neuer Wurm sein. Daher bleibt nur clean / neu-install.
 
@Smurfy1982
Ich hab den Inhalt des Textfiles jetzt nur mit der vorhandenen Powershell.exe verglichen, hat soweit gepasst.
 
Er hat doch geschrieben, dass die Datei zunächst in einem AVI (Film-)Container steckte. Oder habe ich da was falsch gelesen?

Müsste die Originale nicht eine ofizielle Microsoft Signatur enthalten? Ist diese noch vorhanden? Ansonsten könnt's auch nen Dummy-Korpus zum verschleiern vorm AV-Scanner sein. Und der Payload wird schlicht vom C&C nachgeladen.
 
Kommt einfach drauf an, was noch so alles im Container steckte! Könnte ja noch das eine oder andere Modul oder Script drin gewesen sein, das mit dieser Powershell.exe ausgeführt werden sollte, um sicher zu gehen dass eine Powershell verfügbar ist. Da müsste der TE mal seine Temp-Ordner kontrollieren, dort wird sich sicher was passendes in Form von .ps1 und .psc1 finden. Windows führt .avi nicht einfach mal so als ausführbare Datei aus, bloss weil eine originäre Exe drin steckt. Und der Hinweis, dass das .avi mit einem Verknüpfungspfeil versehen war, deutet ohnehin eher auf ein .avi.lnk hin. Da passt also vieles noch nicht so ganz zusammen.

Die obige Textdatei besitzt genau 32 Zeichen mehr als die Powershell.exe, was aber auch noch nichts über Modifikationen aussagt. Denn ich hab sie nur mit der Powershell.exe der Version 17763.1 verglichen, während die Textdatei als Version die 17134.1 nennt. Für mich weist derzeit alles auf eine originale Powershell.exe aus der 1803 hin.
 
  • Gefällt mir
Reaktionen: Sun_set_1
Für eine vernünftige Analyse braucht man die beteiligten Dateien unbedingt unverändert.
Das "neues-textdokument.txt" hat zwar einen MZ Header, ist aber korrupt. Auch Dissasembler wie IDA können da nichts mehr lesen. Copy&Paste ist nicht zuverlässig um den Inhalt von Dateien zu kopieren, du hast wahrscheinlich Textzeichen verändert d.h. kann man jetzt nur mutmaßen ob das wirklich eine legitime PowerShell ist.
Wenn du willst dass wir das hier analysieren stell uns bitte die Dateien unverändert zur Verfügung. Auch die "kryptischen Befehle" sind wichtig. AV hast du hoffentlich installiert, wenigstens der Defender sollte laufen.
 
  • Gefällt mir
Reaktionen: areiland
Hallo.

Ich hoffe es ist in Ordnung dass ich meine Frage hierzu stelle. Ich habe das Thema grade gelesen und frage mich wie man denn generell erkennen kann ob in solchen Container-Dateien (oder überhaupt in Dateien) noch solche "Mitläufer" vorhanden sind die da nicht mit hinein gehören.

Es ist scheinbar recht einfach eine .EXE Datei mit in eine Bild-Datei zu packen, oder eine .EXE Datei in einen .AVI Container. Diese scheint Windows aber nicht auszuführen ... solange diese mit dem zugeordneten Programm geöffnet wurden?

Kann man im Windows-Explorer, mit einfachsten Mitteln, einer Datei irgendwie ansehen dass da noch andere Dateien vorhanden sind die etwas böses erahnen lassen?

Gruß!
 
Nicht die Mama schrieb:
Kann man im Windows-Explorer, mit einfachsten Mitteln, einer Datei irgendwie ansehen dass da noch andere Dateien vorhanden sind die etwas böses erahnen lassen?
Pauschal nicht, da gibt es je nach Applikation und Dateityp zig Möglichkeiten um Dateien/Code zu verstecken. Als Laie am besten die Files scannen lassen auf Virustotal oder in einer Sandbox, eine wirkliche Garantie können dir nur erfahrene Malware Analysten geben ob da noch was versteckt ist.
 
Ich dachte die könnte man sich irgendwie leicht anzeigen lassen. Schade dass das nicht geht. Das wäre dann doch mal ein guter Ansatz für Microsoft um da etwas zu machen in dieser Hinsicht. Aber die Leutchen scheinen es ja selbst mit dem Anzeigen der Dateierweiterungen nicht so ernst zu nehmen.

Ich bin erst vor einer Weile über das (mir unbekannte) Thema gestoßen und fand es schon etwas erschreckend wi leicht man da etwas mogeln kann.

Danke für die Informationen.
 
Hallo,
vielen Dank für die vielen Rückmeldungen.
Ich habe die Datei ursprünglich hier nicht hochgeladne, weil sie eben 1,4 GB groß ist.
Dass durch Kopieren des Inhalts sich etwas an der Codierung ändert, hab ich mir schon gedacht...
Daher hab ich die Datei jetzt hier hochgeladen:
https://transfernow.net/34ke11h1ao7w
Achtung: Keinen Doppelklick auf die Datei ausführen!!

Interessanterweise scheint die Datei, die in Windows 1,4 GB groß sein soll, eigentlich nur 64 MB groß zu sein.
Ist das so einfach möglich, Windows zu täuschen?

Defender und Virenscanner laufen.

Was ich mich allerdings frage:

Wenn ich nun Windows neu aufsetze, muss ich ja meine Dateien alle sichern und später wieder auf das neue BS kopieren. Laufe ich da nicht Gefahr, irgendwelche Virus-Teile mitzukopieren? Oder schreibt sich der Virus wirklich nur unter C tief rein in irgendwelche BS-Teile?

Besteht die Möglichkeit, dass sich der Virus im Heimnetzwerk sofort verbreitet hat?

Vielen Dank
 
Schon während des Downloads schlägt der Defender zu...
778830


Virustotal meint: https://www.virustotal.com/gui/file...48c60ae69e60ec1d373e0f212e95c28be7bd7/details
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: CMDCake
Komisch, mein Defender läuft, schlägt aber nicht an - weder beim Download noch beim Draufklicken ...
Bin kein Experte ... Könnte mir jemand erklären, was die Ergebnisse von Virustotal bedeuten und evtl. kurz auf meine Fragen aus dem vorletzten Post eingehen?
1000 Dank!
 

Ähnliche Themen

Antworten
1
Aufrufe
4.841
Zurück
Oben