Я получил файл .vbs в Skype и запустил его .. Пожалуйста, дайте мне знать, если это что-то делает?
3 ответа
4
Это запутано, и вы можете быть чертовски уверены, что это не доброкачественно. Считайте свой компьютер, на котором вы работали, больше не "безопасным". Это означает, что не делайте на это никакого вклада, ничего не заказывайте через Интернет и вообще не доверяйте этой машине.
На другом компьютере, который, как известно, не скомпрометирован, измените все свои пароли для своих учетных записей и затем не обращайтесь к этим учетным записям с зараженного компьютера.
Было бы разумно переформатировать компьютер, на котором вы запускали скрипт, с известного хорошего носителя, предпочтительно с включенной безопасной загрузкой в BIOS/UEFI при загрузке этого носителя.
4
Если вы все еще беспокоитесь о том, что могло произойти с вашим компьютером, посмотрите на это (строки оставлены в виде строк в целях безопасности). Не пытайтесь выполнить этот код, если вы не знаете, что делаете. Я нахожусь на работе, поэтому не могу проанализировать этот код подробно, но он не выглядит хорошим. Из быстрого обзора я обнаружил, что есть
- Подделка файлов и папок
- Подделка реестра (особенно при запуске программ)
- Отправка запросов (я заметил один конкретный домен - kingprog.publicvm.com, но может быть и много других)
- Подделка дисков
Вы можете попросить кого-нибудь проверить это или подождать несколько часов, пока я не вернусь домой, и я вернусь к вам с дополнительной информацией.
Я все равно настоятельно советую вам следовать совету headkase.
РЕДАКТИРОВАТЬ В случае, если это не ясно, прикрепленная ссылка является debsfuscated VBS код
1
Я расшифровал этот код VBScript!
Подозрительный файл находится в этой папке %Appdata%
И проверьте в вашем реестре наличие подозрительных записей:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
а также
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
Я работаю с VBScript, который может найти любой подозрительный файл VBScript, работающий в фоновом режиме.
Таким образом, этот код может извлечь местоположение и скопировать исходный код этого подозрительного файла VBScript: просто скопируйте и вставьте как Find_any_Running_VbsCode.vbs и запустите его двойным щелчком:
Option Explicit
Dim Title,colItems,objItem,FilePath,ws
Dim MyProcess,LogFile,fso,Contents,arrCommandLine
MyProcess = "Wscript.exe"
Title = "Searching for instances of "& DblQuote(MyProcess) &" by Hackoo 2016"
Set fso = CreateObject("Scripting.FileSystemObject")
Set ws = CreateObject("WScript.Shell")
LogFile = Left(Wscript.ScriptFullName, InstrRev(Wscript.ScriptFullName, ".")) & "txt"
If fso.FileExists(LogFile) Then
fso.DeleteFile(LogFile)
End If
Set colItems = GetObject("winmgmts:").ExecQuery("Select * from Win32_Process " _
& "Where Name like '%"& MyProcess &"%' AND NOT commandline like '%" & wsh.scriptname & "%'",,48)
For Each objItem in colItems
arrCommandLine = Split(objItem.CommandLine,DblQuote(" "))
'msgbox objItem.CommandLine
If arrCommandLine(1) = "/c" Then
'msgbox arrCommandLine(2)
FilePath = Replace(arrCommandLine(2),chr(34),"")
else
'msgbox arrCommandLine(1)
FilePath = Replace(arrCommandLine(1),chr(34),"")
end if
FilePath = Trim(FilePath)
Msgbox "A suspicious file is running at this location : " & vbCrLF & DblQuote(FilePath),vbExclamation,Title
If Len(FilePath) > 0 Then
Contents = ReadFile(FilePath,"all")
Call WriteLog(DblQuote(FilePath) & vbCrlf & String(100,"*")& vbCrlf &_
Contents & vbCrlf & String(100,"*") & vbCrlf,LogFile)
End If
Next
If fso.FileExists(LogFile) Then
ws.run DblQuote(LogFile)
Else
MsgBox "No running instances found for this process " &_
DblQuote(MyProcess),vbExclamation,Title
End If
'**************************************************
Function DblQuote(Str)
DblQuote = Chr(34) & Str & Chr(34)
End Function
'**************************************************
Function ReadFile(path,mode)
Const ForReading = 1
Dim objFSO,objFile,i,strLine
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objFile = objFSO.OpenTextFile(path,ForReading)
If mode = "byline" then
Dim arrFileLines()
i = 0
Do Until objFile.AtEndOfStream
Redim Preserve arrFileLines(i)
strLine = objFile.ReadLine
strLine = Trim(strLine)
If Len(strLine) > 0 Then
arrFileLines(i) = strLine
i = i + 1
ReadFile = arrFileLines
End If
Loop
objFile.Close
End If
If mode = "all" then
ReadFile = objFile.ReadAll
objFile.Close
End If
End Function
'***************************************************
Sub WriteLog(strText,LogFile)
Dim fso,ts
Const ForAppending = 8
Set fso = CreateObject("Scripting.FileSystemObject")
Set ts = fso.OpenTextFile(LogFile,ForAppending,True,-1)
ts.WriteLine strText
ts.Close
End Sub
'***************************************************