smurfa_vr HL-BG Community
Брой мнения : 8113 Дата на регистрация : 31.03.2011 Местожителство : Враца
| Заглавие: JavaScript вирус изключва компютъра, ако някой се опита да прекъсне неговия процес Пет 14 Окт 2016, 03:40 | |
| [You must be registered and logged in to see this image.]Специалистите на компанията Kahu Security съобщиха за любопитна компютърна заплаха. Малуерът от подобен тип не е агресивен, но експертите са впечатлени от сериозната обфускация на кода.Компютърният вирус се промъква в компютърната система предимно като спам. Въпреки, че вирусът е JavaScript файл, той не се изпълнява в средата на браузъра, а във Windows Script Host.[You must be registered and logged in to see this image.]Експертите отбелязват, че кодът на този малуер е изключително объркан, като по този начин работата на аналитиците се затруднява много. Освен обикновена обфускация, хакерите използват кодирани символи, regex search и regex replace, условни изрази и други подобни. Специалистите са успели да се ориентират в кода и са разбрали, че вирусът копира файла wscript.exe, преименува го и го поставя в нова директория, създадена в AppDataRoaming. Скриптът копира самия себе си в същата папка и използва новото копие на wscript.exe за да се стартира. Освен това вирусът създава линк към себе си, който получава името Start и го поставя в папката Startup. Прекият път към Start е с иконката за директория и потребителите се заблуждават, че това не е файл. [You must be registered and logged in to see this image.]След инсталацията, вирусът проверява чрез Microsoft, Google или Bing, дали има връзка с интернет. Ако има, към отдалечен сървър се предава цялата телеметрия на заразения компютър и изтегля втори скрипт. Ако се направи опит за прекъсване процеса на wscript.exe, скриптът моментално изключва компютъра. |
|