Sākumlapa › Forumi › Notepad.lv › IT ziņas › Parādījies ļoti agresīvs Javascript vīruss, kurš izslēdz PC
Pazīme, ka saķerts Javascript vīruss, ir lapas Portalne.ws parādīšanās pārlūkā:
[img]
Konkrētais vīruss ir ļoti labi aizsargāts pret izpēti. Bez koda obfuskācijas vēl pielietoti paņēmieni kā encoded characters, regex search/replace, unusual base conversions, conditional statements. Beigās ir tikai vienlaidus putra:
[img]
Kad vīruss nokļūst sistēmā, tas savienojas ar IE, Chrome vai Bing, lai pārbaudītu, vai ir internets. Ja viss kārtībā, uz adresi urchintelemetry.com nosūta visu telemetriju, ko var sameklēt inficētajā mašīnā. No 95.153.31.22 lejuplādē vēl vienu Javascript failu, kurš nomaina pārlūka mājaslapu uz login.hhtxnet.com, ko pēc tam pāradresē uz portalne.ws. Tiek lietots serviss WMI (Windows Management Instrumentation) lai atrastu aktīvi darbojošās pretvīrusu programmas. Ja tādas ir, vīruss izdod viltotu kļūdas paziņojumu un pārtrauc darbu. Ja kaut kas mēģina apturēt tā procesu – modificētu wscript.exe – ar īpašas komandas palīdzību PC tiks izslēgts:
[img]
Ko darīt, ja esam saķēruši?
1. Iestartējamies Safe Modē vai no cita lietotāja acc
2. Ejam uz inficētā lietotāja Programmām > Startup mapi, no kuras dzēšam failu Start (tā nav mape kā varētu likties, vienīgi izmanto Folder ikonu!)
[img]
3. Sameklējam vīrusa mapi inficētā lietotāja slēptajā mapē AppDataRoaming un dzēšam.
Daudz sīkāk –
Principā normāli obfuskots makro vīruss. Gads padsmit atpakaļ bija populāri tādus likt klāt Office dokumentiem
Viss ir ļoti skaisti, bet kāda mārutka pēc .js faili būtu, pēc noklusējuma, jāatver ar pārlūku nevis, piemēram, notepad?
Kad pēdējo reizi, vai vispār, kādam uz desktop bija nepieciešamība palaist .js scriptu?
Cits jautājums, vai tas, kas instalējis datoru ir parūpējies par failu izpildes noklusētajām programmām 😀 ?
Piedevām – ja vēl iemetas palaidējs zem [Start] -> Startup mapes kā šortkats, tad vēl easy.. Naidīgāki mošķi parasti piekabinās klāt kādam servisam, palaižas zem System, un šeit pat varētu iekārtoties mierīgi zem Chrome/Firefox/Edge/IE shortcutiem, kā papildus parametrs, kas katru reizi palaižot pārlūku palaiž attiecīgo .js.. 🙂
Preses relīzes