web-dev-qa-db-ja.com

これは(del.bat)マルウェアですか、それともいたずらですか?

昨日、SysWOW64フォルダーで実行されている次のバッチファイルを発見しました。

@Echo Off
cd /d C:\Windows\SysWOW64\
:Start
del svchost.exe
If Exist svchost.exe Goto Start
del %0

狂ったようにバッテリーを失っていたので、タスクマネージャーを開いたときにそれを発見しました。スケジュールされたタスク、サービス、起動などがなく、ウィンドウが表示されずに実行されていたため、どのように実行が開始されたのかわかりません(cmd.exeのみ)

残念ながら、それはリソースを使い果たしていたので、私は急いでそれを殺しました、それで私は議論を捕らえませんでした、それはこれからより意味をなすのを助けたでしょう。誰かがこれを以前に経験したことがありますか? virustotal を介してファイルを実行してみましたが、これは完全に安全であると主張しています。それともこれはいたずらか何かですか?

P.S.完全に更新されたWindows10を実行しています。 Malwarebytesは何も検出しません。

編集:さらに調査を行った結果、DDosマルウェアが発生しました Xuhuan ですが、マカフィーに記載されているレジストリキーやその他のファイルがなく、Explorer.exeからのファイアウォールプロンプトもありません。

編集2:Virustotalはポジティブなレポートでいっぱいになっているので、これはもう問題ではないと思います!

3
PulseJet

Malwarebytesは、(少し)価値があるものとして、これをTrojan.Agent.Traceとして検出するようになりました(一般的な「これは厄介ですが、どのウイルスから来たのかわかりません」という名前です)。ハードワイヤードデスクトップである私のシステムでそれを見つけました。一人ですんでいます。どうやってそこにたどり着いたのかわからないので、これはすべてかなりゾッとします。

古い古典的な90年代のウイルスを思い出させます。彼らはあなたのクレジットカード情報を封印したり、あなたのコンピュータを使ってマイニングしたりするために出かけていませんでした、彼らはあなたのウィンドウズのインストールを台無しにしたいだけです。

3
Nick Moody

この一行を一度に見ていきましょう。

@Echo Off

バッチスクリプトのコマンドは、実行時にコンソールに出力されません。

cd /d C:\Windows\SysWOW64\

スクリプトは、C:\ドライブのSysWOW64フォルダーに移動します。 /dスイッチは、スクリプトが現在のドライブをC:\に変更するようにします。

:Start

これは後で参照されるラベルです。

del svchost.exe

現在のディレクトリにsvchost.exeが存在する場合は、削除します。これはごみ箱に送信しません。あなたがファイル回復ソフトウェアで幸運にならない限り、それは永遠に消えます。これにより、64ビットシステムで実行されている32ビットサービスに使用されるsvchost.exe実行可能ファイルが削除されることに注意してください。 svchost.exeSystem32フォルダーにもあり、64ビットシステムでは64ビットサービスに使用されます(32ビットシステムでは32ビットサービスに使用されます)。

If Exist svchost.exe Goto Start

何らかの理由でsvchost.exeがまだ存在する場合、スクリプトは前に定義した:Startラベルにループバックし、削除されるまでdel svchost.exeを再度実行しようとします。

del %0

svchost.exeが削除されると、Ifステートメントはラベルにループバックせず、代わりにこれを実行します。通常、これによりスクリプトは独自のファイルを削除しますが、 このコメント のSO回答によると、現在のパスが変更されているため、これは機能しませんか?

あなたがあなたのオペレーティングシステムを評価するならば、私はそれを実行しません。

バッテリーの消耗については、svchost.exeを削除できない場合(標高が不足している、ファイルが使用中ですか?)、無限に実行されていることがわかります。この場合、スクリプトは1秒間に数千回ではないにしても数百回ファイルを削除しようとします。わかります あなたのハードドライブをスラッシング CPUを使い果たし(Sampoの修正に感謝します!)、バッテリーを消耗します。

4
MoonRunestar