Игры
 Видео
 Музыка
 Графика
 Интересно
 Программы
 Библиотека
 Видеоуроки
 Кулинария
 Разное




zyzy
Добавил новостей Статьи: 9539
Написал комментариев Мысли: 0
ivashka
Добавил новостей Статьи: 8490
Написал комментариев Мысли: 0
didl3
Добавил новостей Статьи: 8432
Написал комментариев Мысли: 0
Kioka83
Добавил новостей Статьи: 5335
Написал комментариев Мысли: 0
trigall
Добавил новостей Статьи: 4605
Написал комментариев Мысли: 0
colt
Добавил новостей Статьи: 3833
Написал комментариев Мысли: 0
NIKIG
Добавил новостей Статьи: 2399
Написал комментариев Мысли: 0
Какая категория интереснее?
Всего ответов: 23
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Форум » Общение » Антивирусная безопасность » Новый JavaScript - вирус выключает компьютер (поиск и лечение)
Новый JavaScript - вирус выключает компьютер
blogzДата: Пятница, 14.10.2016, 01:05 | Сообщение # 1
Группа: Администраторы
Сообщений: 22
Статус: Оффлайн

Недавно в  интернете появился агрессивный вирус, написанный на JavaScript, который выключает компьютер, если пользователь пытается прервать исполнение скрипта вручную. После включения компьютера скрипт сразу же возобновляет работу, поскольку находится в папке автозагрузки. В сети появилась вредоносная программа, написанная на JavaScript, которая выключает зараженный компьютер сразу, как только пользователь пытается завершить выполняемый ею процесс. Угрозу обнаружили эксперты ресурса Kahu Security.

По данным Kahu Security, такие программы существуют с 2014 г., однако редко демонстрируют настолько агрессивное поведение и такую степень запутанности кода. Программа  распространяется через спам, приходящий на электронную почту. Несмотря на то, что она написана на JavaScript, ее выполняет Windows Script Host, а не браузер.

Проблема запутанности кода

Вирус отличается сложным кодом. Скрипт состоит из переменных и функций, но понять, где заканчивается один фрагмент и начинается другой, затруднительно из-за отсутствия пробелов. Кроме обычных методов запутывания в коде использованы зашифрованные символы, поиск и
перемещение регулярных выражений, иносказания и т. д. Функция декодирования unescape делает его несколько более читаемым, но не намного. Код выстраивает цепочки букв и цифр, чтобы впоследствии генерировать строки случайных символов.



Агрессивный JavaScript-вирус выключает компьютер, когда пользователь пытается его остановить

Эксперты Kahu Security приводят особенно удачный с их точки зрения пример запутывания кода. Речь идет о фрагменте:

Код
"ca"[(5.0+":w\x88ECZ~\x89D&5Fr"['charCodeAt'](9)*932840649)["toString"](("*t3\x856<Ajl\x87OfF"['charCodeAt'](2)*0+33.0))](/[c]/g,"");.

Для начала нужно уделить внимание первой части:

Код
(5.0+":w\x88ECZ~\x89D&5Fr"['charCodeAt'](9)*932840649).
Эта часть трансформируется следующим образом:
5 + 38 * 932840649 = 35447944667.

Теперь следует рассмотреть другую часть:

Код
("*t3\x856<Ajl\x87OfF"['charCodeAt'](2)*0+33.0).

Она трансформируется вот так:
116 * 0 + 33 = 33.

Сочетание этих частей превращает длинный номер в текст, который дает слово «replace»:

Код
[(5.0+":w\x88ECZ~\x89D&5Fr"['charCodeAt'](9)*932840649)["toString"](("*t3\x856<Ajl\x87OfF"['charCodeAt'](2)*0+33.0))].
Таким образом, первоначальный вариант фрагмента может быть сведен к следующему виду:
Код
"ca"[replace](/[c]/g, "");.

Как действует вирус:
Вредоносная программа начинает работу с копирования, переименования и перемещения файла wscript.exe. Новая папка, куда помещается файл, находится в AppData\Roaming. В этой же папке вирус создает собственную копию и запускает исполнение скрипта с помощью копии wscript.exe. Чтобы спрятать папку, он использует следующий ключ регистрации:

Код
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000002

"ShowSuperHidden"=dword:00000000.

Далее в папке Startup программа создает ярлык под названием Start, который указывает на нее саму. Для графического обозначения ярлыка используется иконка папки, поэтому пользователь не догадывается, что перед ним файл. Попытка открыть папку приводит к запуску скрипта.
На следующем этапе работы вирус проверяет подключение к интернету, связавшись с Microsoft, Google или Bing. Далее программа устанавливает соединение с адресом urchintelemetry.com и отсылает туда все идентификационные данные зараженного компьютера. Одновременно вирус связывается с адресом 95.153.31.22, чтобы скачать с него зашифрованный файл, тоже написанный на JavaScript.

Этот файл заменяет домашнюю страницу интернет-браузера на адрес login.hhtxnet.com с последующей переадресацией на ресурс portalne.ws. Открыв браузер, пользователь попадает на эту страницу. При попытке зайти на сайт модели CnC, посещаемый сайт выглядит нерабочим. При использовании корректного метода запроса POST пользователь получает ответ от сайтов, но не видит его — он спрятан в теге основного текста.
Кроме того, второй файл на JavaScriptпроводит поиск инструментов защиты на компьютере с помощью WindowsManagementInstrumentation. Если какой-то инструмент представляет для него опасность, вирус завершает его работу, выдав поддельное сообщение об ошибке. Если же пользователь посчитает процесс wscript.exe подозрительным и попытается его прервать вручную, скрипт отдаст команду выключить компьютер. Повторный запуск машины повлечет за собой немедленное возобновление работы Start, поскольку он находится в папке автозагрузки.

Совет пользователю:
Побороть вирус можно, только перейдя в безопасный режим или войдя в систему с другой учетной записи. После этого нужно вручную удалить ярлык Start и папку в AppData\Roaming. Если пользователь хочет исследовать скрипт в процессе его работы, придется переименовать используемый инструмент защиты во что-то безобидное.
 
Форум » Общение » Антивирусная безопасность » Новый JavaScript - вирус выключает компьютер (поиск и лечение)
  • Страница 1 из 1
  • 1
Поиск:

Design powered by Xemera™ Copyright © 2009-2024


Гость


Имя: Гость
IP: 100.26.140.179
Ты здесь: -й день
Добавить новость
Читать ЛС ()
Мой профиль
Выход


   Всего: 176
   Админ: 1
   Модераторы: 0
   Журналисты: 12
   Проверенные: 5
   Пользователи: 158
   Парней: 142
   Девушек: 34
Бесплатный хостинг uCoz
Xemera.At.Ua - информационный портал! Все ссылки на файлы, указанные на сайте взяты из открытых источников интернета и предоставлены пользователями нашего сайта исключительно в ознакомительных целях.
Если вы являетесь правообладателем какого либо материала и не желаете его свободного распространения, или считаете, что какой-либо из материалов нарушает Ваши авторские права - свяжитесь с Администрацией.
Владельцы и создатели данного сайта не несут ответственность за использование и содержание ссылок и информации, представленных на этом сайте.
Сайт оптимизирован для просмотра с разрешением 1024x768, 1280x800, 1280x1024 и 1600x1200 браузером FireFox или Opera