Ponadto jednym ze szkodliwych składników robaka jest ustawiane przez skrypt PowerShell zadanie w harmonogramie zadań, które co 90 minut próbuje ponowić infekcję na inne komputery.
In addition, one of the harmful components of the worm is set by the PowerShell script task in Task Scheduler, that every 90 minutes trying to redo the infection to other computers.
Jednak archiwum zawiera zaciemniony skrypt PowerShell, który nakazuje systemowi Windows pobranie pliku wykonywalnego ze zdalnej lokalizacji i uruchomienie go.
However, the archive contains an obfuscated PowerShell script, which will command Windows to download an executable file from a remote location and launch it.
W rzeczywistości jednak plik obrazu zawiera drugi skrypt PowerShell, który jest zakodowany i zaszyfrowany w standardzie Base64.
In reality, however, the image file contains a second PowerShell script that is Base64-encoded and encrypted.
Następnie skrypt PowerShell sprawdza, czy proces PowerShell jest uruchamiany z uprawnieniami administratora.
Next, the PowerShell script checks if the PowerShell process is run with admin privileges.
Lemon Duck najpierw pobiera i wykonuje skrypt PowerShell, który wyłącza zabezpieczenia działające w czasie rzeczywistym programu Windows Defender, a następnie wyklucza proces PowerShell z listy skanowania.
Lemon Duck first downloads and executes a PowerShell script that turns off Windows Defender's real-time guards, then excludes the PowerShell process from the scan list.
Na stronach Microsoft opisywane są różne metody, ale dla mnie najpewniejszą jest użycie skrypt PowerShell (jeżeli będziemy to robić masowo za pomocą GPO, to być może na stacjach będziemy musieli ustawić PowerShell Execution Policy lub skorzystać z metody z następnego posta): Regulamin
There are various methods described on Microsoft's pages, but for me the most reliable one is to use the PowerShell script (if we do it massively using GPO, maybe we will have to set the PowerShell Execution Policy - see next post)
Rysunek 2.1 - Ten skrypt Powershell służy do monitorowania systemu i ponownej instalacji złośliwego oprogramowania, jeśli zostanie usunięty.
Figure 2.1 - This Powershell script is used to monitor the system and reinstall the malware if removed.
