In meinem Download-Ordner befindet sich eine _zipit.vbs. Ich benutze Firefox
Der Code öffnete sich im Notizblock unten. Diese Datei befindet sich seit 6 Monaten auf meinem Computer.
Ich weiß nicht, woher es kommt, aber googeln scheint zu zeigen, dass es an anderen Orten verwendet wird, um Dinge zu zippen. Weiß jemand, ob dies Teil einer Malware ist oder ob ein anderer Prozess sie aufruft? Wie finde ich heraus, ob es andere Prozesse gibt, die dies verwenden?
Set objArgs = WScript.Arguments
InputFolder = objArgs(0)
ZipFile = objArgs(1)
CreateObject("Scripting.FileSystemObject").CreateTextFile(ZipFile,
True).Write "PK" & Chr(5) & Chr(6) & String(18, vbNullChar)
Set objShell = CreateObject("Shell.Application")
Set source = objShell.NameSpace(InputFolder).Items
objShell.NameSpace(ZipFile).CopyHere(source)
wScript.Sleep 2000
Ich habe den SHA256 gegoogelt und es hat geklappt https://www.hybrid-analysis.com/sample/4793ba4b4ca5bba8c2fdd3460af0d8b4ff43bf88dc5b7c0acc82ccab96795a00
wo es Teil einer anderen Malware war.
Irgendwelche Ratschläge, was jetzt zu tun ist?
Antivirus-Scans zeigen nichts an.
Antworten:
Viele Websites, die Exploits verwenden, versuchen, ein Skript in einen temporären Ordner herunterzuladen und dann auszuführen.
Moderne Browser, die auf dem neuesten Stand sind, sind dafür nicht anfällig. Dies kann bedeuten, dass eine Website immer noch einen Download auslösen kann, diese Datei jedoch nicht in einen temporären Ordner heruntergeladen wird und daher für den Benutzer nicht sichtbar ist, sondern in Ihren Download-Ordner heruntergeladen wird.
Wenn die Malware erfolgreich gewesen wäre, werden Sie auf jeden Fall wissen, dass solche Infektionen unter anderem durch unerwünschte Werbung und zunehmende CPU-Auslastung immer wahrgenommen werden.
Es ist sehr wahrscheinlich, dass Ihr Browser Sie geschützt hat.
Beachten Sie, dass Internet Explorer einer der wenigen Browser ist, die für diese Exploits immer noch sehr anfällig sind, Chrome-basierte Browser jedoch nicht und ein aktueller Firefox auch nicht.
Es wird immer schwierig, sicher zu sein, aber wenn die Malware-Infektion erfolgreich war, ist das .vbs-Skript höchstwahrscheinlich nicht mehr in Ihren Downloads enthalten.
quelle