Unbekanntes VBS-Skript in meinem Browser-Download-Ordner

0

In meinem Download-Ordner befindet sich eine _zipit.vbs. Ich benutze Firefox

Der Code öffnete sich im Notizblock unten. Diese Datei befindet sich seit 6 Monaten auf meinem Computer.
Ich weiß nicht, woher es kommt, aber googeln scheint zu zeigen, dass es an anderen Orten verwendet wird, um Dinge zu zippen. Weiß jemand, ob dies Teil einer Malware ist oder ob ein anderer Prozess sie aufruft? Wie finde ich heraus, ob es andere Prozesse gibt, die dies verwenden?

   Set objArgs = WScript.Arguments 
   InputFolder = objArgs(0) 
   ZipFile = objArgs(1) 
   CreateObject("Scripting.FileSystemObject").CreateTextFile(ZipFile,   
   True).Write "PK" & Chr(5) & Chr(6) & String(18, vbNullChar) 
   Set objShell = CreateObject("Shell.Application") 
   Set source = objShell.NameSpace(InputFolder).Items 
   objShell.NameSpace(ZipFile).CopyHere(source) 
   wScript.Sleep 2000 

Ich habe den SHA256 gegoogelt und es hat geklappt https://www.hybrid-analysis.com/sample/4793ba4b4ca5bba8c2fdd3460af0d8b4ff43bf88dc5b7c0acc82ccab96795a00

wo es Teil einer anderen Malware war.

Irgendwelche Ratschläge, was jetzt zu tun ist?

Antivirus-Scans zeigen nichts an.

zeo takall
quelle
1
Welchen Browser benutzt du? Es kann sein, dass eine der besuchten Websites einen Drive-By-Download hatte, der die VBS auf Ihr System übertrug. Browsersandboxen sind heutzutage ziemlich schwierig. Wenn Sie die Datei nicht ausgeführt haben, ist Ihr System höchstwahrscheinlich in Ordnung.
dsstorefile1
@DavidPostill Zum erneuten Öffnen abstimmen. Meiner Meinung nach handelt es sich nicht um ein Duplikat, da es sich hier nicht um eine Infektion handelt, sondern darum, dass der Browser die vbs-Datei nicht ausführt.
LPChip
@LPChip Woher wissen wir, dass der Browser ist nicht Datei ausführen? Das sagt es in der Frage nicht.
DavidPostill
1
@DavidPostill In der Tat, aber mein Browser auch nicht und die meisten anderen nicht. Es ist ein bisschen schwierig anzunehmen, dass es ausgeführt wurde, und allein aus diesem Grund denke ich, dass diese Frage noch nicht geschlossen werden sollte.
LPChip
@dsstorefile Ich verstehe das und danke für die Antwort. Ich benutze Firefox. Ich mache mir mehr Sorgen über eine andere versteckte Malware, die diese verwendet, um meine Dateien zu komprimieren und an einen anderen Ort zu senden. Gibt es eine Möglichkeit, das zu verfolgen?
zeo takall

Antworten:

0

Viele Websites, die Exploits verwenden, versuchen, ein Skript in einen temporären Ordner herunterzuladen und dann auszuführen.

Moderne Browser, die auf dem neuesten Stand sind, sind dafür nicht anfällig. Dies kann bedeuten, dass eine Website immer noch einen Download auslösen kann, diese Datei jedoch nicht in einen temporären Ordner heruntergeladen wird und daher für den Benutzer nicht sichtbar ist, sondern in Ihren Download-Ordner heruntergeladen wird.

Wenn die Malware erfolgreich gewesen wäre, werden Sie auf jeden Fall wissen, dass solche Infektionen unter anderem durch unerwünschte Werbung und zunehmende CPU-Auslastung immer wahrgenommen werden.

Es ist sehr wahrscheinlich, dass Ihr Browser Sie geschützt hat.

Beachten Sie, dass Internet Explorer einer der wenigen Browser ist, die für diese Exploits immer noch sehr anfällig sind, Chrome-basierte Browser jedoch nicht und ein aktueller Firefox auch nicht.

Es wird immer schwierig, sicher zu sein, aber wenn die Malware-Infektion erfolgreich war, ist das .vbs-Skript höchstwahrscheinlich nicht mehr in Ihren Downloads enthalten.

LPChip
quelle