ได้รับ. vbs จาก Skype และดำเนินการ

ฉันได้รับไฟล์. vbs บน Skype และเรียกใช้แล้วโปรดแจ้งให้เราทราบหากมีสิ่งใดหรือไม่

รหัสที่มีอยู่

มันสับสนและคุณสามารถมั่นใจได้ว่ามันไม่เป็นพิษเป็นภัย พิจารณาคอมพิวเตอร์ของคุณว่าคุณใช้งานเป็น "ไม่ปลอดภัย" อีกต่อไป ซึ่งหมายความว่าจะไม่ทำธุรกรรมใด ๆ กับธนาคารอย่าสั่งอะไรผ่านทางอินเทอร์เน็ตและไม่ไว้วางใจเครื่องดังกล่าวเลย

ในเครื่องที่แตกต่างกันคุณไม่ทราบว่าจะถูกบุกรุกเปลี่ยนรหัสผ่านทั้งหมดสำหรับบัญชีของคุณแล้วไม่เข้าถึงบัญชีเหล่านั้นจากคอมพิวเตอร์ที่ติดไวรัส

จะเป็นการดีที่จะทำการฟอร์แมตคอมพิวเตอร์ที่คุณใช้งานสคริปต์จากสื่อดีที่รู้จักโดยเฉพาะอย่างยิ่งเมื่อเปิดใช้งาน Secure Boot ใน BIOS / UEFI ของคุณเมื่อคุณบู๊ตสื่อนั้น

หากคุณยังคงกังวลเกี่ยวกับสิ่งที่อาจเกิดขึ้นกับคอมพิวเตอร์ของคุณให้ดูที่เรื่องนี้ (เส้นถูกทิ้งไว้เป็นสตริงเพื่อเหตุผลด้านความปลอดภัย) อย่าพยายามรันโค้ดนี้ถ้าคุณไม่รู้ว่าคุณกำลังทำอะไรอยู่ ฉันทำงาน atm ดังนั้นฉันไม่สามารถวิเคราะห์รหัสนี้ในเชิงลึก แต่มันดูไม่ดี จากภาพรวมอย่างรวดเร็วฉันพบว่ามี

• การแก้ไขไฟล์และโฟลเดอร์
• การแก้ไขรีจิสทรี (โดยเฉพาะอย่างยิ่งการเริ่มต้นโปรแกรม)
• กำลังส่งคำขอ (ฉันสังเกตเห็นโดเมนหนึ่งโดเมน - kingprog.publicvm.com แต่อาจมีอีกหลายโดเมน)
• ขับรถไปยุ่ง

คุณอาจต้องการขอให้ใครบางคนตรวจสอบเรื่องนี้หรือรอสองสามชั่วโมงจนกระทั่งฉันกลับถึงบ้านและฉันจะติดต่อกลับพร้อมข้อมูลเพิ่มเติม

ฉันยังขอแนะนำให้คุณทำตามคำแนะนำของ headkase

แก้ไขในกรณีที่มันไม่ชัดเจนลิงค์ที่แนบมาคือรหัส vbs deobfuscated

ฉันถอดรหัสรหัส vbscript นี้!

ไฟล์ที่น่าสงสัยอยู่ในโฟลเดอร์นี้ %Appdata%

และตรวจสอบรีจิสทรีของคุณสำหรับรายการที่น่าสงสัยใน:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run

และ

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run

ฉัน worte vbscript ที่สามารถพบไฟล์ vbscript ที่น่าสงสัยใด ๆ ที่ทำงานในพื้นหลัง

ดังนั้นรหัสนี้สามารถเรียกคืนตำแหน่งและคัดลอกซอร์สโค้ดของไฟล์ vbscript ที่น่าสงสัยนี้: เพียงคัดลอกและวางเป็นFind_any_Running_VbsCode.vbsและเรียกใช้โดยclicคู่:

Option Explicit
Dim Title,colItems,objItem,FilePath,ws
Dim MyProcess,LogFile,fso,Contents,arrCommandLine
MyProcess = "Wscript.exe"
Title = "Searching for instances of "& DblQuote(MyProcess) &" by Hackoo 2016"
Set fso = CreateObject("Scripting.FileSystemObject")
Set ws = CreateObject("WScript.Shell")
LogFile = Left(Wscript.ScriptFullName, InstrRev(Wscript.ScriptFullName, ".")) & "txt"
If fso.FileExists(LogFile) Then
    fso.DeleteFile(LogFile)
End If
Set colItems = GetObject("winmgmts:").ExecQuery("Select * from Win32_Process " _
& "Where Name like '%"& MyProcess &"%' AND NOT commandline like '%" & wsh.scriptname & "%'",,48)
For Each objItem in colItems
    arrCommandLine = Split(objItem.CommandLine,DblQuote(" "))
    'msgbox objItem.CommandLine
    If arrCommandLine(1) = "/c" Then 
    'msgbox arrCommandLine(2)
        FilePath = Replace(arrCommandLine(2),chr(34),"")
    else
    'msgbox arrCommandLine(1)
        FilePath = Replace(arrCommandLine(1),chr(34),"")
    end if 
    FilePath = Trim(FilePath)
    Msgbox "A suspicious file is running at this location : " & vbCrLF & DblQuote(FilePath),vbExclamation,Title
    If Len(FilePath) > 0 Then   
        Contents = ReadFile(FilePath,"all")
        Call WriteLog(DblQuote(FilePath) & vbCrlf & String(100,"*")& vbCrlf &_
        Contents & vbCrlf & String(100,"*") & vbCrlf,LogFile)
    End If  
Next
If fso.FileExists(LogFile) Then
    ws.run DblQuote(LogFile)
Else
    MsgBox "No running instances found for this process " &_
    DblQuote(MyProcess),vbExclamation,Title
End If  
'**************************************************
Function DblQuote(Str)
    DblQuote = Chr(34) & Str & Chr(34)
End Function
'**************************************************
Function ReadFile(path,mode)
    Const ForReading = 1
    Dim objFSO,objFile,i,strLine
    Set objFSO = CreateObject("Scripting.FileSystemObject")
    Set objFile = objFSO.OpenTextFile(path,ForReading)
    If mode = "byline" then
        Dim arrFileLines()
        i = 0
        Do Until objFile.AtEndOfStream
            Redim Preserve arrFileLines(i)
            strLine = objFile.ReadLine
            strLine = Trim(strLine)
            If Len(strLine) > 0 Then
                arrFileLines(i) = strLine
                i = i + 1
                ReadFile = arrFileLines
            End If  
        Loop
        objFile.Close
    End If
    If mode = "all" then
        ReadFile = objFile.ReadAll
        objFile.Close
    End If
End Function
'***************************************************
Sub WriteLog(strText,LogFile)
    Dim fso,ts 
    Const ForAppending = 8
    Set fso = CreateObject("Scripting.FileSystemObject")
    Set ts = fso.OpenTextFile(LogFile,ForAppending,True,-1)
    ts.WriteLine strText
    ts.Close
End Sub
'***************************************************