Windowsを使用していますXP Professionalで、ペンドライブやモバイルなどのガジェットをUSB経由で接続しようとすると、すべてのデータが非表示になり、1 kbのファイルが表示されます。 .lnkファイルであり、その.lnkファイルのターゲットを見つけようとすると、次のように表示されます。
C:\WINDOWS\system32\cmd.exe /c start qfstynchuh.vbs&start Explorer USB&exit
USBは私のファイル名です。
これについて調査してみたところ、CMDを使用してF:/に変更し、このコードを入力することで、隠しファイルを表示するというアイデアを得ました
attrib -s -h USB
それはうまくいきましたが、ファイルは再び隠されました。 qfstynchuh.vbsファイルがありますが、CMDで開くと、約10000行の暗号化された単語が表示されます。私はこのコードをここに貼り付けることができないので、実際のコードはこのリンクにあります: http://hackinginjections.blogspot.nl/2014/08/qfstynchuhvbs.html
私もそのファイルを削除しようとしましたが、再び表示され、それらのすべてのコードを変更および削除してもう一度保存しようとしましたが、何も起こりません。それがアンチウイルスに関して言えば、それは検出しておらず、ちなみにそれが検出した場合、これを胸に移動して保存します。アバストアンチウイルスを使用しています。
ペンドライブがすべて感染し、Windows 7を使用している友人のPCも感染しているので、助けてください。
これは暗号化されていません。エンコードされているだけです-base64。リンクのデコードされたファイルはここに貼り付けられます:
攻撃者の自宅に電話をかけ、ファイルをダウンロードして実行できるようにする(自分のファイルをアップロードすることもできる)ことを考えると、それらのマシンを紛失して再インストールし、LinuxまたはMacを使用して感染したファイルをUSBから削除し、その他。
次に、あなたのUSBディスクをあなたが知っている人に渡してはいけません。
あなたが本当にそれをサルベージしようとするならば(私はウィンドウを再インストールすることを強くお勧めします)、EliadTechsのアドバイスを受け、Pastebinスクリプトで言及されたレジストリキーを削除し、起動からショートカットを削除します。
彼らがあなたのコンピュータにこれ以上の悪意のあるプログラムを置いていなければ、私はかなり驚かれるでしょう。
幸運を祈ります。
お使いのコンピュータは H-Worm by Houdini に感染しています。
コンピュータ上の [〜#〜] vbs [〜#〜] ファイルは2つの部分で構成されています。 Base64 とエンコードされた実際のマルウェア ser2867314 で述べたように、次に、マルウェアをBase64でデコードするコードです。
ステップバイステップ:
次の行は、Base-64でエンコードされたマルウェアで関数deCrypt
を呼び出し、戻り値をSafa7_22
という名前の変数に割り当てます。
Safa7_22 = deCrypt("(…)")
3行目は、変数Safa7_22
の値をVBScriptとして実行します。
EXECUTE (Safa7_22)
deCrypt
という名前の関数が含まれています。この関数は、呼び出されると、decodeBase64
という名前の別の関数を呼び出し、deCrypt
関数の最初の引数として渡されたデータを使用して、返された値を返します。 decodeBase64
関数によって。マルウェアの作成者が関数decodeBase64
を2行目で直接呼び出しただけの可能性があるため、これは冗長です。 VBScriptは、他のコードの実行を開始する前に、まずスクリプト内のすべての関数を使用できるようにするため、2行目で使用できます。マルウェアは、アンチウイルスソリューションによる検出を妨害するようにエンコードされています。
正しい構文で強調表示された元のマルウェアは次のとおりです。 http://Pastebin.com/ne1fnwKx
そして、これがデコードされたマルウェアです: http://Pastebin.com/7qS5rEEQ
デコードされたマルウェアの一番上にあるのが構成です。al-ahlii17.no-ip.org
で C&C と通信するように構成されています。
現在、このサブドメインは 101.61.156.113
のサーバーを指し、サーバー インドのムンバイにあるISPによってホストされています を指します。
port1155
を使用し、フォルダとファイルの両方を非表示にし、ショートカットで置き換えるように構成されています。
マルウェアがbase64でデコードされて実行されると、次のアクションを実行します。
最初に関数instance
を呼び出します。この関数は、コンピューターがWindowsレジストリにフラグを既に持っているかどうかをチェックします。そうでない場合は、以下を保管します。
a。スクリプトがドライブのルートディレクトリにある場合、値「true」と現在の日付を格納するように設定されます。 b。スクリプトがドライブのルートディレクトリにない場合、値「true」と現在の日付を格納するように設定されます。
その後、関数instance
が別の関数upstart
を呼び出します。この関数は、WindowsレジストリのHKEY_CURRENT_USER\software\Microsoft\windows\currentversion\run\
の下にキーを作成し、まだログインしていない場合にアカウントにログインするたびにスクリプトが開始されるようにします。また、自分自身を スタートアップフォルダ にコピーします。
その後、この関数は終了し、関数instance
は実行を再開します。構成済みのインストール場所に既にインストールされているかどうかを確認し、インストールされている場合は、スクリプトの名前を使用して WScriptBatch mode で開始して終了します。
OpenTextFile
関数を使用して、インストール場所にあるスクリプトのコピーを上から開きます。開くことができない場合、スクリプトはすでに実行されているため、再インストールする必要はありません。したがって、エラーがある場合は終了します。関数instance
が実行を停止し、スクリプトエンジンが42行目から再開し、次の命令が発生します。
while true
これは無限ループの始まりです。つまり、ループから抜ける(またはスクリプトが終了する)まで、スクリプトは実行を続けます。
その後、関数install
を呼び出します。この関数はまず、上記のupstart
関数を再度呼び出します。その後、ドライブごとに以下を実行します。
wend
命令に遭遇し、その後、while
ループの最初からやり直します(ポイント5を参照)。wscript.exe
を終了します。.lnk
ファイルをすべて削除します。HKEY_CURRENT_USER\software\Microsoft\windows\currentversion\run\
の下のスクリプトのエントリを削除します。 .vbs
のないスクリプトの名前になります。%temp%
)からスクリプトファイルを削除します。