Unbekanntes VBS-Skript in meinem Browser-Downloadordner

487
zeo takall

In meinem Downloadordner befindet sich eine _zipit.vbs. Ich benutze Firefox

Der Code wurde unten im Notizblock geöffnet. Diese Datei befindet sich seit 6 Monaten auf meinem Computer.
Ich weiß nicht, wo es herkommt, aber googeln scheint zu zeigen, dass es an anderen Orten zum Verschließen von Dingen verwendet wird. Weiß jemand, ob dies Teil einer Malware ist oder ob ein anderer Prozess sie irgendwo anruft? Wie erfahre ich, ob andere Prozesse dies verwenden? 

 Set objArgs = WScript.Arguments  InputFolder = objArgs(0)  ZipFile = objArgs(1)  CreateObject("Scripting.FileSystemObject").CreateTextFile(ZipFile,  True).Write "PK" & Chr(5) & Chr(6) & String(18, vbNullChar)  Set objShell = CreateObject("Shell.Application")  Set source = objShell.NameSpace(InputFolder).Items  objShell.NameSpace(ZipFile).CopyHere(source)  wScript.Sleep 2000

Ich habe den SHA256 gegoogelt, und es hat zu https://www.hybrid-analysis.com/sample/4793ba4b4ca5bba8c2fdd3460af0d8b4ff43bf88dc5b7c0acc82ccab96795a00 geführt

wo es Teil einer anderen Malware war.

Irgendwelche Ratschläge, was jetzt zu tun ist?

Antivirus-Scans zeigen nichts.

0
Welchen Browser benutzen Sie? Möglicherweise hatte eine der besuchten Websites einen Drive-by-Download, durch den die VBS auf Ihrem System abgelegt wurde. Browser-Sandboxen sind heutzutage ziemlich hart. Wenn Sie die Datei nicht ausgeführt haben, ist Ihr System wahrscheinlich in Ordnung. dsstorefile1 vor 6 Jahren 1
@DavidPostill Abstimmung zum erneuten Öffnen. Meiner Meinung nach handelt es sich nicht um ein Duplikat, da es sich hier nicht um eine Infektion handelt, sondern darum, dass der Browser die VBS-Datei nicht ausführt. LPChip vor 6 Jahren 0
@LPChip Woher wissen wir, dass der Browser die Datei * nicht * ausführt? In der Frage heißt es nicht so. DavidPostill vor 6 Jahren 0
@DavidPostill In der Tat, aber mein Browser tut es auch nicht und die meisten anderen auch nicht. Es ist ein bisschen zu glauben, dass es ausgeführt wurde, und schon deshalb denke ich, dass diese Frage noch nicht abgeschlossen sein sollte. LPChip vor 6 Jahren 1
@dsstorefile Ich verstehe das und danke für die Antwort. Ich benutze Firefox. Ich bin mehr besorgt über eine andere verborgene Malware, die diese Dateien dazu verwendet, meine Dateien zu komprimieren und an einen anderen Ort zu senden. Wie kann ich das nachverfolgen? zeo takall vor 6 Jahren 0
Wenn Sie Angst vor Malware haben, überprüfen Sie das Duplikat. LPChip vor 6 Jahren 0

1 Antwort auf die Frage

0
LPChip

Viele Websites, die Exploits verwenden, versuchen, ein Skript in einen temporären Ordner herunterzuladen und dann auszuführen.

Moderne Browser, die auf dem neuesten Stand sind, sind dafür nicht anfällig. Dies kann bedeuten, dass eine Website immer noch einen Download auslösen kann. Statt diese Datei jedoch in einen temporären Ordner herunterzuladen und für den Benutzer nicht sichtbar zu sein, wird die Datei stattdessen in den Downloadordner heruntergeladen.

Wenn die Malware erfolgreich gewesen wäre, wissen Sie auf jeden Fall, da solche Infektionen unter anderem durch unerwünschte Werbung, zunehmende CPU-Auslastung und andere Symptome bemerkt werden.

Es ist sehr wahrscheinlich, dass Ihr Browser Sie geschützt hat.

Beachten Sie, dass Internet Explorer einer der wenigen Browser ist, der für diese Exploits immer noch sehr anfällig ist. Chrome-basierte Browser sind dies nicht, und ein aktuelles Firefox sollte dies auch nicht sein.

Es wird immer schwierig sein, sicher zu sein, aber wenn die Malware-Infektion erfolgreich war, würde das .vbs-Skript höchstwahrscheinlich nicht mehr in Ihren Downloads sein.

Verwandte Probleme