Разбор кода
Проверка стороннего антивируса (Check3rdAV):
Сканирует систему на наличие антивирусных программ, отличных от встроенных Windows.
Если такие антивирусы обнаружены, они могут блокировать выполнение скрипта. Скрипт выводит предупреждение об этом.
Установка безопасного протокола:
Устанавливается протокол Tls12, чтобы обеспечить безопасные HTTP(S) запросы.
Загрузка скрипта из репозиториев:
Список URL-адресов содержит три ссылки на разные репозитории, где размещён скрипт MAS_AIO.cmd.
Используется метод Invoke-WebRequest для попытки загрузить файл с одного из адресов (выбор случайный).
Обработка ошибок загрузки:
Если файл не удалось загрузить ни с одного из адресов, вызывается функция Check3rdAV и выводится сообщение об ошибке с предложением перейти на страницу помощи.
Проверка целостности загруженного файла:
Скрипт вычисляет SHA256-хэш загруженного файла и сравнивает его с заранее заданным контрольным значением ($releaseHash).
Если хэши не совпадают, скрипт прерывается с предупреждением.
Проверка реестра на наличие автозапуска (Autorun):
Проверяются пути в реестре Windows, где может быть прописан автозапуск командной строки (CMD). Если такие записи найдены, выводится предупреждение и инструкция по их удалению.
Создание временного файла и выполнение:
Генерируется уникальный идентификатор ($rand) для создания временного файла.
В зависимости от прав текущего пользователя временный файл создаётся либо в системной, либо в пользовательской папке.
Запускается командная строка (CMD) для выполнения загруженного файла с передачей аргументов.
Очистка временных файлов:
После завершения работы удаляются все временные файлы, соответствующие маске MAS*.cmd.
yaplakal.com