Новый вирус при попытке его остановить выключает ПК

Софт Безопасность
мобильная версия
, Текст: Валерия Шмырова

В интернете появился агрессивный вирус, написанный на JavaScript, который выключает компьютер, если пользователь пытается прервать исполнение скрипта вручную. После включения компьютера скрипт сразу же возобновляет работу, поскольку находится в папке автозагрузки.


Новый JavaScript-вирус выключает компьютер

В сети появилась вредоносная программа, написанная на JavaScript, которая выключает зараженный компьютер сразу, как только пользователь пытается завершить выполняемый ею процесс. Угрозу обнаружили эксперты ресурса Kahu Security.

По данным Kahu Security, программы такого типа существуют с 2014 г., однако редко демонстрируют настолько агрессивное поведение и такую степень запутанности кода. Программа распространяется через спам, приходящий на электронный ящик. Несмотря на то, что она написана на JavaScript, ее выполняет Windows Script Host, а не браузер.

Проблема запутанности кода

Вирус отличается сложным кодом. Скрипт состоит из переменных и функций, но понять, где заканчивается один фрагмент и начинается другой, затруднительно из-за отсутствия пробелов. Кроме обычных методов запутывания в коде использованы зашифрованные символы, поиск и перемещение регулярных выражений, иносказания и т. д. Функция декодирования unescape делает его несколько более читаемым, но не намного. Код выстраивает цепочки букв и цифр, чтобы впоследствии генерировать строки случайных символов.

Агрессивный JavaScript-вирус выключает компьютер, когда пользователь пытается его остановить

Эксперты Kahu Security приводят особенно удачный с их точки зрения пример запутывания кода. Речь идет о фрагменте:

"ca"[(5.0+":w\x88ECZ~\x89D&5Fr"['charCodeAt'](9)*932840649)["toString"](("*t3\x856<Ajl\x87OfF"['charCodeAt'](2)*0+33.0))](/[c]/g,"");.

Для начала нужно сфокусироваться на данной части:

(5.0+":w\x88ECZ~\x89D&5Fr"['charCodeAt'](9)*932840649).

Эта часть трансформируется следующим образом:

5 + 38 * 932840649 = 35447944667.

Теперь следует рассмотреть другую часть:

("*t3\x856<Ajl\x87OfF"['charCodeAt'](2)*0+33.0).

Она трансформируется вот так:

116 * 0 + 33 = 33.

Сочетание этих частей превращает длинный номер в текст, который дает слово «replace»:

[(5.0+":w\x88ECZ~\x89D&5Fr"['charCodeAt'](9)*932840649)["toString"](("*t3\x856<Ajl\x87OfF"['charCodeAt'](2)*0+33.0))].

Таким образом, первоначальный вариант фрагмента может быть сведен к следующему виду:

"ca"[replace](/[c]/g, "");.

Как действует вирус

Вредоносная программа начинает работу с копирования, переименования и перемещения файла wscript.exe. Новая папка, куда помещается файл, находится в AppData\Roaming. В этой же папке вирус создает собственную копию и запускает исполнение скрипта с помощью копии wscript.exe. Чтобы спрятать папку, он использует следующий ключ регистрации:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000002

"ShowSuperHidden"=dword:00000000.

Далее в папке Startupпрограмма создает ярлык под названием Start, который указывает на нее саму. Для графического обозначения ярлыка используется иконка папки, поэтому пользователь не догадывается, что перед ним файл. Попытка открыть папку приводит к запуску скрипта.

На следующем этапе работы вирус проверяет подключение к интернету, связавшись с Microsoft, Google или Bing. Далее программа устанавливает соединение с адресом urchintelemetry.com и отсылает туда все идентификационные данные зараженного компьютера. Одновременно вирус связывается с адресом 95.153.31.22, чтобы скачать с него зашифрованный файл, тоже написанный на JavaScript.

Этот файл заменяет домашнюю страницу интернет-браузера на адрес login.hhtxnet.com с последующей переадресацией на ресурс portalne.ws. Открыв браузер, пользователь попадает на эту страницу. При попытке зайти на сайт модели CnC, посещаемый сайт выглядит нерабочим. При использовании корректного метода запроса POST пользователь получает ответ от сайтов, но не видит его — он спрятан в теге основного текста.

Кроме того, второй файл на JavaScriptпроводит поиск инструментов защиты на компьютере с помощью WindowsManagementInstrumentation. Если какой-то инструмент представляет для него опасность, вирус завершает его работу, выдав поддельное сообщение об ошибке. Если же пользователь посчитает процесс wscript.exe подозрительным и попытается его прервать вручную, скрипт отдаст команду выключить компьютер. Повторный запуск машины повлечет за собой немедленное возобновление работы Start, поскольку он находится в папке автозагрузки.

Советы пользователю

Побороть вирус можно, только перейдя в безопасный режим или войдя в систему с другой учетной записи. После этого нужно вручную удалить ярлык Start и папку в AppData\Roaming. Если пользователь хочет исследовать скрипт в процессе его работы, придется переименовать используемый инструмент защиты во что-то безобидное.