#javascript #virus
#javascript #вирус
Вопрос:
Мой внешний жесткий диск объемом 750 ГБ был заражен вирусом. Когда я помог своему другу получить копию Visual Studio для своего ноутбука и подключил к нему свой внешний жесткий диск, почти 95% моих файлов довольно быстро скрылись и были заменены ярлыками, другими словами.файлы lnk (в довершение всего, это было 366 ГБ данных из школьных проектов). Перед тем, как весь жесткий диск был превращен в.файлы lnk, я быстро отключил свой внешний жесткий диск. Я подключил свой внешний компьютер обратно к своему компьютеру и запустил команду командной строки ff., чтобы скрыть скрытые файлы:
@echo off
attrib -h -s -r -a /s /d G:*.*
PAUSE
@echo on
echo DONE!
Это местоположение G: — это то, что мой компьютер распознает мой внешний жесткий диск до и во время вирусной атаки, после выполнения пакетной команды выше, мой компьютер теперь распознает мой внешний жесткий диск с помощью E:.
Когда файлы снова стали видимыми, я увидел все отсутствующие папки в скрытой папке с именем «Диск», и я быстро удалил все файлы, которые, как я помню, были здесь изначально. То, что я выудил из своего жесткого диска, было ff. files:
- Командный файл Windows, выполняющий файл javascript, расположенный по адресу «G:Drive808exmjxt.js » который, я почти уверен, я никогда не создавал.
- Файл javascript с именем «exmjxt.js «
Теперь я попытался открыть файл javascript, упомянутый выше, с помощью notepad , и это код, который я видел в нем (в этом коде всего 4 СТРОКИ, но по какой-то причине первая строка строки «var a = ….», по-видимому, содержит 84906 символов, вписанных в эту первую строкустрока):
(Слишком длинный код, в нем более 85 000 символов, вместо этого здесь ссылка на вставку)
Вставьте ссылку на вирусный код javascript
Если вы человек, который знает javascript, пожалуйста, помогите мне с анализом этого файла javascript, idk, что делает этот код.
В прошлый раз, когда я заразился вирусом быстрого доступа, вирус извлек мой адрес электронной почты yahoo из сохраненных файлов cookie в моем браузере и отправил электронное письмо на какой-то сомнительный веб-сайт, а в следующую минуту мне было отправлено довольно много рекламы NSFW и 18 в виде электронного письма в течение следующих 6 месяцев.месяцы -_-
Комментарии:
1. Не согласен с текущим closevote, в котором указано, что это относится к superuser.com . OP специально задает вопрос о кодировании.
2. @DamienOvereem Я бы сказал, что он задает вопрос о коде , а не о кодировании .
3. @Keith Он говорит о коде в pastebin. Верхний код — это то, что он использовал, чтобы скрыть файлы.
4. Я не думаю, что кто-то собирается декодировать и читать весь этот код, но поскольку большая его часть просто запутана тем, что выглядит как unicode, вы можете попробовать декодировать unicode и привести его в порядок с помощью автоматического отступа, и прочитать его самостоятельно.
Ответ №1:
Червь JS, который заразил жесткий диск, является вариантом JS / BONDAT. Что он делает, так это следующее: скопируйте себя в папку автозагрузки, подключитесь к серверу управления и управления, запустите цикл распространения на внешние диски.
Комментарии:
1. Я искал вариант червя JS / BONDAT. Теперь я знаю, почему мой антивирус не обнаружил этого червя. Я переустановил свой антивирус на новый диск (не C: drive) и запустил антивирус для выполнения полной проверки. Теперь он обнаруживает вирус, и он был удален с моего компьютера и флэш-накопителей. Кажется, что он останавливает файлы .exe, связанные с антивирусными программами, в C: drive, чтобы они могли распространяться.