Encontrei um script chamado 5cfdf61c454c1fc5e9f0fcad2d12d5ef.ps1no meu computador:
$pyfwthc = # this is just a TON of random letters and numbers didnt wanna waste the space and its probably not important (encrypted maybe?)
$sstring = ConvertTo-SecureString $pyfwthc
$script = (New-Object system.Management.Automation.PSCredential("pyfwthc", $sstring)).GetNetworkCredential().Password
Invoke-Expression $script
Isso é algo com que devo me preocupar?
Responder1
Vamos decompô-lo.
- A primeira linha armazena essa string grande em uma variável chamada “pyfwthc”.
- A segunda linha "Converte strings padrão criptografadas em strings seguras", isso é feito para proteger a senha: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/convertto-securestring?view=powershell-5.1
- A terceira linha cria uma credencial do PowerShell que pode ser usada para autenticar outros comandos de um script do PowerShell sem expor a senha. Em seguida, ele extrai a senha dessa credencial. Isso converte a string criptografada em texto simples.
- A quarta linha executa a "senha" como um comando:https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/invoke-expression?view=powershell-5.1
ATUALIZAÇÃO: Como outros usuários apontaram, a string de senha está sendo executada como um comando. Você deseja despejar o valor de $script em um arquivo para poder ver o que está sendo executado:
Remova a última linha do script e execute:
echo $script > this_is_the_script.file