3
Neue Infektions-Masche: Erpressungs-Trojaner missbraucht Windows PowerShell
War nur eine Frage der Zeit, bis auch Powershell davon betroffen ist.
Gruss Penny
http://www.heise.de/newsticker/meldung/Neue-Infektions-Masche-Erpressun ...
Gruss Penny
http://www.heise.de/newsticker/meldung/Neue-Infektions-Masche-Erpressun ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 300194
Url: https://administrator.de/contentid/300194
Printed on: April 19, 2024 at 00:04 o'clock
3 Comments
Latest comment
Guten Abend Penny,
weiß jemand ob das Powershell Skript, wo ausgeführt wird, signiert ist?
Gruß,
Dani
weiß jemand ob das Powershell Skript, wo ausgeführt wird, signiert ist?
Gruß,
Dani
Nein, wahrscheinlich nicht und muss es nicht dank dem Aufrufparameter "-ExecutionPolicy ByPass".
Die komplette Kommandozeile steht übrigens im Process Analysis Bild.
Die komplette Kommandozeile steht übrigens im Process Analysis Bild.
Heise schreibt "PowerWare verrichtet sein Zerstörungswerk den Sicherheitsforschern zufolge gänzlich ohne den Download zusätzlicher Dateien" was natürlich vom abgedruckten Screenshot schon widerlegt wird, wo man sehen kann, dass ein weiteres Skript geladen wird.
Auch das "vermeidet Schreibzugriffe auf die Festplatte" ist nicht wahr, denn sonst würde nichts verschlüsselt werden können.
Was in dem Powershellskript steht, welche systemeigenen Methoden zum Verschlüsseln genutzt werden, druckt Heise nicht. Somit ist der Infogehalt beinahe null.
Auch das "vermeidet Schreibzugriffe auf die Festplatte" ist nicht wahr, denn sonst würde nichts verschlüsselt werden können.
Was in dem Powershellskript steht, welche systemeigenen Methoden zum Verschlüsseln genutzt werden, druckt Heise nicht. Somit ist der Infogehalt beinahe null.
