Menü
Avatar von Ansichtssache
  • Ansichtssache

mehr als 1000 Beiträge seit 28.01.2017

Re: Der Trojaner wird nachgeladen?

Der VBA Schnipsel exekutiert ein pseudo obfsusziertes/Base64 encodetes Powershell Script. Das PScript enthält jeweils 5 Adressen zu gehackten Web Präsenzen, irgendwelche vergammelten WordPress Systeme usw. von denen nacheinander probiert wird Malware oder auch einen neuerlichen Downloader nachzuladen.,
Da es von schlecht gewarteten Web Präsenzen gefühlt unendlich viele gibt ist es für Kriminelle natürlich sehr einfach hier permanent Adressen zu variieren.

(Im einfachsten Fall verwehrt man der Powershell irgendwelche Remote Kommunikations.)

Bewerten
- +
Anzeige