Неизвестный скрипт VBS в папке загрузки моего браузера

886
zeo takall

В моей папке для загрузки есть _zipit.vbs. Я использую Firefox

Код, открытый в блокноте ниже. Этот файл был на моем компьютере в течение 6 месяцев.
Я не знаю, откуда он взялся, но поиск в Google, кажется, показывает, что он используется в других местах для архивирования. Кто-нибудь знает, является ли это частью вредоносной программы или если ее вызывает другой процесс? Как я узнаю, есть ли другие процессы, которые используют это? 

 Set objArgs = WScript.Arguments  InputFolder = objArgs(0)  ZipFile = objArgs(1)  CreateObject("Scripting.FileSystemObject").CreateTextFile(ZipFile,  True).Write "PK" & Chr(5) & Chr(6) & String(18, vbNullChar)  Set objShell = CreateObject("Shell.Application")  Set source = objShell.NameSpace(InputFolder).Items  objShell.NameSpace(ZipFile).CopyHere(source)  wScript.Sleep 2000

Я прогуглил SHA256 и взял его по адресу https://www.hybrid-analysis.com/sample/4793ba4b4ca5bba8c2fdd3460af0d8b4ff43bf88dc5b7c0acc82ccab96795a00

где это было частью другого вредоносного ПО.

Любой совет, что делать сейчас?

Антивирусное сканирование ничего не показывает.

0
Какой браузер вы используете? Может случиться так, что на одном из посещенных веб-сайтов была скачанная загрузка, которая сбросила VBS на вашу систему. Песочницы в браузерах в настоящее время довольно сложны, поэтому, если вы не запустили файл, ваша система, скорее всего, в порядке. dsstorefile1 5 лет назад 1
@DavidPostill Голосовать, чтобы открыть. На мой взгляд, это не дубликат, потому что вопрос здесь не в том, чтобы быть зараженным, а в том, что браузер не выполняет файл VBS. LPChip 5 лет назад 0
@LPChip Откуда мы знаем, что браузер * не * выполняет файл? Это не говорит так в вопросе. DavidPostill 5 лет назад 0
@DavidPostill Действительно, но мой браузер тоже нет, как и большинство других. Предполагать, что оно выполнено, довольно сложно, и только по этой причине я думаю, что этот вопрос пока не следует закрывать. LPChip 5 лет назад 1
@ dsstorefile Я понимаю это, и спасибо за ответ. Я использую Firefox. Меня больше беспокоит другое скрытое вредоносное ПО, которое использует это для архивирования моих файлов и отправки их куда-то еще. Есть ли способ, которым я могу отследить это? zeo takall 5 лет назад 0
Если вы боитесь вредоносных программ, проверьте дубликат. LPChip 5 лет назад 0

1 ответ на вопрос

0
LPChip

Многие веб-сайты, использующие эксплойты, пытаются загрузить сценарий во временную папку, а затем выполнить его.

Современные браузеры, которые поддерживаются в актуальном состоянии, не будут уязвимы для этого. Это может означать, что веб-сайт все еще может инициировать загрузку, но вместо того, чтобы этот файл загружался во временную папку и, следовательно, был невидим для пользователя, вместо этого файл загружается в вашу папку загрузки.

Если бы вредоносная программа была успешной, вы наверняка будете знать, что такие инфекции всегда заметны нежелательной рекламой, увеличением использования процессора и другими симптомами.

Вполне вероятно, что ваш браузер защитил вас.

Обратите внимание, что Internet Explorer - один из немногих браузеров, который все еще очень уязвим для этих эксплойтов, браузеры на основе Chrome - нет, и современный Firefox также не должен быть.

Всегда будет трудно быть уверенным, но если заражение вредоносным ПО было успешным, этот скрипт .vbs, скорее всего, больше не будет в ваших загрузках.

Похожие вопросы