blog.minerva-labs.com

 

今日はこの検体。

 

検体自体は PowerShell のスクリプトで、定番の Base64 でエンコードされているスクリプトを実行するタイプ。

 

WMI64.ps1

 

Neutrino.ps1

 

それぞれデコードしてみたら意外と長くなった。

デコードはスクリプトの最後の IEX を消せば実行されなくなる（はず）なので消した後に変数の値を確認。

IEX は Invoke-Expression のことかと。

 

 

長い。。。のんびりソースコード読むか。