+38/044/257-2444
+38/067/502-3306
+38/050/370-3627
Новости

Новый JavaScript-вирус выключает компьютер

В сети появилась вредоносная программа, написанная на JavaScript, которая выключает зараженный компьютер сразу, как только пользователь пытается завершить выполняемый ею процесс. Программы такого типа существуют с 2014 г., однако редко демонстрируют настолько агрессивное поведение и такую степень запутанности кода. Программа распространяется через спам, приходящий на электронный ящик. Несмотря на то, что она написана на JavaScript, ее выполняет Windows Script Host, а не браузер.
Вирус отличается сложным кодом. Скрипт состоит из переменных и функций, но понять, где заканчивается один фрагмент и начинается другой, затруднительно из-за отсутствия пробелов. Кроме обычных методов запутывания в коде использованы зашифрованные символы, поиск и перемещение регулярных выражений, иносказания и т. д. Функция декодирования unescape делает его несколько более читаемым, но не намного. Код выстраивает цепочки букв и цифр, чтобы впоследствии генерировать строки случайных символов.

Вредоносная программа начинает работу с копирования, переименования и перемещения файла wscript.exe. Новая папка, куда помещается файл, находится в AppData\Roaming. В этой же папке вирус создает собственную копию и запускает исполнение скрипта с помощью копии wscript.exe. Чтобы спрятать папку, он использует следующий ключ регистрации:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000002

"ShowSuperHidden"=dword:00000000.

Далее в папке Startupпрограмма создает ярлык под названием Start, который указывает на нее саму. Для графического обозначения ярлыка используется иконка папки, поэтому пользователь не догадывается, что перед ним файл. Попытка открыть папку приводит к запуску скрипта.

На следующем этапе работы вирус проверяет подключение к интернету, связавшись с Microsoft, Google или Bing. Далее программа устанавливает соединение с адресом urchintelemetry.com и отсылает туда все идентификационные данные зараженного компьютера. Одновременно вирус связывается с адресом 95.153.31.22, чтобы скачать с него зашифрованный файл, тоже написанный на JavaScript.

Этот файл заменяет домашнюю страницу интернет-браузера на адрес login.hhtxnet.com с последующей переадресацией на ресурс portalne.ws. Открыв браузер, пользователь попадает на эту страницу. При попытке зайти на сайт модели CnC, посещаемый сайт выглядит нерабочим. При использовании корректного метода запроса POST пользователь получает ответ от сайтов, но не видит его — он спрятан в теге основного текста.

Кроме того, второй файл на JavaScriptпроводит поиск инструментов защиты на компьютере с помощью WindowsManagementInstrumentation. Если какой-то инструмент представляет для него опасность, вирус завершает его работу, выдав поддельное сообщение об ошибке. Если же пользователь посчитает процесс wscript.exe подозрительным и попытается его прервать вручную, скрипт отдаст команду выключить компьютер. Повторный запуск машины повлечет за собой немедленное возобновление работы Start, поскольку он находится в папке автозагрузки.

Другие новости

Лучшая цена