Chaix
BANNED | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:
Мы не ищем лёгких путей. Запуск. Индексатор службы Microsoft Windows Search запрашивает доступ к Microsoft Windows Search Protocol Host для создания нового приложения. Разрешаем, хотим посмотреть поведенческий анализ файлов и приложений в связи с появлением скрипта извне. Оказывается, для создания нового приложения. Запрещаем и смотрим дальше, поскольку скрипт уже в компьютере, возможно, заблокирован, но к приложениям доступ имел до блокировки.
Далее, сразу же после запрета создания нового приложения, сам запускается Firefox Developer Edition, за ним запускается второй Firefox Developer Edition (оба из диска D (один мой, другой моего товарища по работе) со своими обычными домашними страницами. И зависают. Ничего открыть нельзя, никакой адрес в адресной строке не пишется.
Одновременно с этим в System 32 появляются новые файлы и логи, каждые минут 10-15 появляется файл и к нему (вернее, одновременно с ним новый лог в новой папке Logs и Logfiles)
Приложение обращается спонтанно: запускает браузеры, обращается к службам криптографии, создаёт свои папки, файлы и логи в системных папках и отдельно; делает записи в файлы, память не грузит, в Process Hacker выделено красным, прописано в автозагрузке и висит в памяти и процессах.
Одновременно со всем этим появляется (и тут же блокируется файрфолом) большое количество IP-адресов, которые обращаются к службам криптографии и скриптам в системной папке
Запретив одновременно доступ к svchost.exe, Adobe Flash Player, Microsoft Based Windows Script Host и ко всем имеющимся браузерам, rame.js исчез сам по себе. Касперский, BitDefender и ESET нашли JS.Downloader и пару троянов, в компьютере куча пустых папок и логов, но всё это можно почистить.
Итого(мои выводы) : скрипт-троян, не имеющий каких-то последовательных действий и не разрушающий систему, если его удалить. Поведенческий анализ говорит о том, что он способен вызвать ddos-атаку (у меня сейчас заблокировано около 1500 IP-адресов, обращавшихся к трём-четырём службам; если его не заметить, то, допускаю, что что он потянет за собой в компьютер шифровальщиков (вполне допустимо), появятся совершенно нежелательные скрипт-сценарии и возможно что-то ещё наподобие обычных троянов или spyware-malware. Лично для меня это гадость редкостная, я люблю, когда в компьютере всё на своих местах и ничего серьёзного без моего ведома не происходит.
Добавлено:
P.S. Я немного недооценил этого трудягу. Полностью в нерабочем состоянии после rame.js оказались программы: SnagIT, периодически запускается сам uTorrent, изменены страницы браузеров на какую-то рекламную фигню. Изменён браузер по умолчанию. Значит, где-то что-то немножко осталось.
ESET поместил в карантин файл с обозначением JS/TrojanDownloader.Agent |
Всего записей: 79 | Зарегистр. 10-03-2018 | Отправлено: 03:55 14-04-2018 | Исправлено: Chaix, 04:55 14-04-2018 |
|
