3
Neue Infektions-Masche: Erpressungs-Trojaner missbraucht Windows PowerShell
War nur eine Frage der Zeit, bis auch Powershell davon betroffen ist.
Gruss Penny
http://www.heise.de/newsticker/meldung/Neue-Infektions-Masche-Erpressun ...
Gruss Penny
http://www.heise.de/newsticker/meldung/Neue-Infektions-Masche-Erpressun ...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300194
Url: https://administrator.de/forum/neue-infektions-masche-erpressungs-trojaner-missbraucht-windows-powershell-300194.html
Ausgedruckt am: 18.04.2025 um 12:04 Uhr
3 Kommentare
Neuester Kommentar
Guten Abend Penny,
weiß jemand ob das Powershell Skript, wo ausgeführt wird, signiert ist?
Gruß,
Dani
weiß jemand ob das Powershell Skript, wo ausgeführt wird, signiert ist?
Gruß,
Dani
Nein, wahrscheinlich nicht und muss es nicht dank dem Aufrufparameter "-ExecutionPolicy ByPass".
Die komplette Kommandozeile steht übrigens im Process Analysis Bild.
Die komplette Kommandozeile steht übrigens im Process Analysis Bild.
Heise schreibt "PowerWare verrichtet sein Zerstörungswerk den Sicherheitsforschern zufolge gänzlich ohne den Download zusätzlicher Dateien" was natürlich vom abgedruckten Screenshot schon widerlegt wird, wo man sehen kann, dass ein weiteres Skript geladen wird.
Auch das "vermeidet Schreibzugriffe auf die Festplatte" ist nicht wahr, denn sonst würde nichts verschlüsselt werden können.
Was in dem Powershellskript steht, welche systemeigenen Methoden zum Verschlüsseln genutzt werden, druckt Heise nicht. Somit ist der Infogehalt beinahe null.
Auch das "vermeidet Schreibzugriffe auf die Festplatte" ist nicht wahr, denn sonst würde nichts verschlüsselt werden können.
Was in dem Powershellskript steht, welche systemeigenen Methoden zum Verschlüsseln genutzt werden, druckt Heise nicht. Somit ist der Infogehalt beinahe null.
