Desconhecido PowerShell-Script com conteúdo duvidoso: Malware?

1

Eu encontrei um script chamado 5cfdf61c454c1fc5e9f0fcad2d12d5ef.ps1 no meu computador:

$pyfwthc = # this is just a TON of random letters and numbers didnt wanna waste the space and its probably not important (encrypted maybe?)
$sstring = ConvertTo-SecureString $pyfwthc
$script = (New-Object system.Management.Automation.PSCredential("pyfwthc", $sstring)).GetNetworkCredential().Password
Invoke-Expression $script

Isso é algo com o qual eu deveria me preocupar?

    
por zerioto smoke 09.10.2017 / 18:29

1 resposta

1

Vamos dividi-lo.

  • A primeira linha armazena essa string grande em uma variável chamada "pyfwthc".
  • A segunda linha "Converte seqüências padrão criptografadas para proteger seqüências de caracteres", isso é feito para proteger a senha: link
  • A terceira linha cria uma credencial do PowerShell que pode ser usada para autenticar outros comandos de um script do PowerShell sem expor a senha. Em seguida, ele extrai a senha dessa credencial. Isso converte a string criptografada em texto simples.
  • A quarta linha executa a "senha" como um comando:

ATUALIZAÇÃO: Como outros usuários apontaram, está executando a string de senha como um comando. Você quer despejar o valor de $ script em um arquivo para poder ver o que está sendo executado:

Remova a última linha do script e execute:

echo $script > this_is_the_script.file
    
por 09.10.2017 / 19:58