暗号化されたコードファイル(.vbs)はすべてのファイルを非表示にし、.lnkファイルを表示します
Windowsを使用していますXP Professionalで、ペンドライブやモバイルなどのガジェットをUSB経由で接続しようとすると、すべてのデータが非表示になり、1 kbのファイルが表示されます。 .lnkファイルであり、その.lnkファイルのターゲットを見つけようとすると、次のように表示されます。
C:\WINDOWS\system32\cmd.exe /c start qfstynchuh.vbs&start Explorer USB&exit
USBは私のファイル名です。
これについて調査してみたところ、CMDを使用してF:/に変更し、このコードを入力することで、隠しファイルを表示するというアイデアを得ました
attrib -s -h USB
それはうまくいきましたが、ファイルは再び隠されました。 qfstynchuh.vbsファイルがありますが、CMDで開くと、約10000行の暗号化された単語が表示されます。私はこのコードをここに貼り付けることができないので、実際のコードはこのリンクにあります: http://hackinginjections.blogspot.nl/2014/08/qfstynchuhvbs.html
私もそのファイルを削除しようとしましたが、再び表示され、それらのすべてのコードを変更および削除してもう一度保存しようとしましたが、何も起こりません。それがアンチウイルスに関して言えば、それは検出しておらず、ちなみにそれが検出した場合、これを胸に移動して保存します。アバストアンチウイルスを使用しています。
ペンドライブがすべて感染し、Windows 7を使用している友人のPCも感染しているので、助けてください。
これは暗号化されていません。エンコードされているだけです-base64。リンクのデコードされたファイルはここに貼り付けられます:
攻撃者の自宅に電話をかけ、ファイルをダウンロードして実行できるようにする(自分のファイルをアップロードすることもできる)ことを考えると、それらのマシンを紛失して再インストールし、LinuxまたはMacを使用して感染したファイルをUSBから削除し、その他。
次に、あなたのUSBディスクをあなたが知っている人に渡してはいけません。
あなたが本当にそれをサルベージしようとするならば(私はウィンドウを再インストールすることを強くお勧めします)、EliadTechsのアドバイスを受け、Pastebinスクリプトで言及されたレジストリキーを削除し、起動からショートカットを削除します。
彼らがあなたのコンピュータにこれ以上の悪意のあるプログラムを置いていなければ、私はかなり驚かれるでしょう。
幸運を祈ります。
お使いのコンピュータは H-Worm by Houdini に感染しています。
コンピュータ上の [〜#〜] vbs [〜#〜] ファイルは2つの部分で構成されています。 Base64 とエンコードされた実際のマルウェア ser2867314 で述べたように、次に、マルウェアをBase64でデコードするコードです。
ステップバイステップ:
- 最初の行はコメントです。
次の行は、Base-64でエンコードされたマルウェアで関数
deCryptを呼び出し、戻り値をSafa7_22という名前の変数に割り当てます。Safa7_22 = deCrypt("(…)")3行目は、変数
Safa7_22の値をVBScriptとして実行します。EXECUTE (Safa7_22)- 4-6行目には、
deCryptという名前の関数が含まれています。この関数は、呼び出されると、decodeBase64という名前の別の関数を呼び出し、deCrypt関数の最初の引数として渡されたデータを使用して、返された値を返します。decodeBase64関数によって。マルウェアの作成者が関数decodeBase64を2行目で直接呼び出しただけの可能性があるため、これは冗長です。 VBScriptは、他のコードの実行を開始する前に、まずスクリプト内のすべての関数を使用できるようにするため、2行目で使用できます。 - 7〜49行目には、Base64をデコードする関数が含まれています。明らかに ここからコピー です。
マルウェアは、アンチウイルスソリューションによる検出を妨害するようにエンコードされています。
正しい構文で強調表示された元のマルウェアは次のとおりです。 http://Pastebin.com/ne1fnwKx
そして、これがデコードされたマルウェアです: http://Pastebin.com/7qS5rEEQ
デコードされたマルウェアの一番上にあるのが構成です。al-ahlii17.no-ip.orgで C&C と通信するように構成されています。
現在、このサブドメインは 101.61.156.113 のサーバーを指し、サーバー インドのムンバイにあるISPによってホストされています を指します。
port1155を使用し、フォルダとファイルの両方を非表示にし、ショートカットで置き換えるように構成されています。
マルウェアがbase64でデコードされて実行されると、次のアクションを実行します。
最初に関数
instanceを呼び出します。この関数は、コンピューターがWindowsレジストリにフラグを既に持っているかどうかをチェックします。そうでない場合は、以下を保管します。a。スクリプトがドライブのルートディレクトリにある場合、値「true」と現在の日付を格納するように設定されます。 b。スクリプトがドライブのルートディレクトリにない場合、値「true」と現在の日付を格納するように設定されます。
その後、関数
instanceが別の関数upstartを呼び出します。この関数は、WindowsレジストリのHKEY_CURRENT_USER\software\Microsoft\windows\currentversion\run\の下にキーを作成し、まだログインしていない場合にアカウントにログインするたびにスクリプトが開始されるようにします。また、自分自身を スタートアップフォルダ にコピーします。その後、この関数は終了し、関数
instanceは実行を再開します。構成済みのインストール場所に既にインストールされているかどうかを確認し、インストールされている場合は、スクリプトの名前を使用して WScriptBatch mode で開始して終了します。- 次に
OpenTextFile関数を使用して、インストール場所にあるスクリプトのコピーを上から開きます。開くことができない場合、スクリプトはすでに実行されているため、再インストールする必要はありません。したがって、エラーがある場合は終了します。 関数
instanceが実行を停止し、スクリプトエンジンが42行目から再開し、次の命令が発生します。while trueこれは無限ループの始まりです。つまり、ループから抜ける(またはスクリプトが終了する)まで、スクリプトは実行を続けます。
その後、関数
installを呼び出します。この関数はまず、上記のupstart関数を再度呼び出します。その後、ドライブごとに以下を実行します。- そのように構成されている場合、ファイルやフォルダーを非表示にして、最初にマルウェアを実行してからWindowsエクスプローラーを使用して元のファイル/フォルダーを開くショートカットに置き換えます。
- 次に、HTTP POST要求要求をC&Cサーバーに送信します。任意のプログラムのダウンロードと実行、それ自体の更新、CMDコマンドの実行、プロセスの強制終了、情報の送信など、さまざまなアクションを実行できます。攻撃者へのドライブおよび実行中のプロセスなど、それ自体をアンインストールするアクションも含まれています。これはすべて、暗号化されていない(HTTP)接続を介して行われます。
- 攻撃者がコマンドを実行すると、コマンドがある場合は、指定された時間(この場合は5秒)実行を停止します。次に、
wend命令に遭遇し、その後、whileループの最初からやり直します(ポイント5を参照)。
削除する方法:
- タスクマネージャーまたは Process Explorer を使用して
wscript.exeを終了します。 - 隠しフォルダを表示 まだ表示していない場合。
- スクリプトによって残された悪意のある
.lnkファイルをすべて削除します。 HKEY_CURRENT_USER\software\Microsoft\windows\currentversion\run\の下のスクリプトのエントリを削除します。.vbsのないスクリプトの名前になります。- Windowsスタートアップフォルダーからスクリプトを削除します。
- 必要に応じて、スクリプトによって残された他のレジストリキーもクリーンアップします。
- 各ポータブルディスクドライブのルートとインストールディレクトリ(
%temp%)からスクリプトファイルを削除します。 - 非表示のファイルとフォルダを再び表示します。
- マルウェアが単独で来ることはほとんどありません。ウイルス対策とセカンドオピニオンスキャナー(MalwareBytesやHitmanProなど)を使用して、システム全体のスキャンを実行します。また、システムの完全な再インストールを検討してください。