blog.minerva-labs.com

今日はこの検体。

検体自体は PowerShell のスクリプトで、定番の Base64 でエンコードされているスクリプトを実行するタイプ。

WMI64.ps1

Neutrino.ps1

それぞれデコードしてみたら意外と長くなった。

デコードはスクリプトの最後の IEX を消せば実行されなくなる（はず）なので消した後に変数の値を確認。

IEX は Invoke-Expression のことかと。

長い。。。のんびりソースコード読むか。