Encontré un script llamado 5cfdf61c454c1fc5e9f0fcad2d12d5ef.ps1en mi computadora:
$pyfwthc = # this is just a TON of random letters and numbers didnt wanna waste the space and its probably not important (encrypted maybe?)
$sstring = ConvertTo-SecureString $pyfwthc
$script = (New-Object system.Management.Automation.PSCredential("pyfwthc", $sstring)).GetNetworkCredential().Password
Invoke-Expression $script
¿Es esto algo de lo que debería preocuparme?
Respuesta1
Analicémoslo.
- La primera línea almacena esa cadena grande en una variable llamada "pyfwthc".
- La segunda línea "Convierte cadenas estándar cifradas en cadenas seguras", esto se hace para proteger la contraseña: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/convertto-securestring?view=powershell-5.1
- La tercera línea crea una credencial de PowerShell que se puede usar para autenticar otros comandos desde un script de PowerShell sin exponer la contraseña. Luego extrae la contraseña de esa credencial. Esto convierte la cadena cifrada en texto sin formato.
- La cuarta línea ejecuta la "contraseña" como comando:https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/invoke-expression?view=powershell-5.1
ACTUALIZACIÓN: Como han señalado otros usuarios, está ejecutando la cadena de contraseña como un comando. Desea volcar el valor de $script en un archivo para poder ver qué se está ejecutando:
Elimine la última línea del script y ejecute:
echo $script > this_is_the_script.file