Невідомий скрипт VBS в папці завантаження мого браузера

У папці для завантаження є _zipit.vbs. Я використовую Firefox

Код відкрився в блокноті нижче. Цей файл працює на моєму комп’ютері вже 6 місяців.
Я не знаю, звідки це взялося, але Google, здається, показує, що його використовують в інших місцях для застібки речей. Хтось знає, чи це частина зловмисного програмного забезпечення, чи інший процес десь викликає його? Як дізнатись, чи є інші процеси, які використовують це?

   Set objArgs = WScript.Arguments 
   InputFolder = objArgs(0) 
   ZipFile = objArgs(1) 
   CreateObject("Scripting.FileSystemObject").CreateTextFile(ZipFile,   
   True).Write "PK" & Chr(5) & Chr(6) & String(18, vbNullChar) 
   Set objShell = CreateObject("Shell.Application") 
   Set source = objShell.NameSpace(InputFolder).Items 
   objShell.NameSpace(ZipFile).CopyHere(source) 
   wScript.Sleep 2000

Я погукнув його SHA256, і він взяв його на https://www.hybrid-analysis.com/sample/4793ba4b4ca5bba8c2fdd3460af0d8b4ff43bf88dc5b7c0acc82ccab96795a00

де воно було частиною іншої шкідливої програми.

Будь-яка порада, що робити зараз?

Антивірусні сканування нічого не показують.

— zeo takall
джерело

Який браузер ви використовуєте? Можливо, на одному з відвідуваних веб-сайтів було завантажено драйвер, який скинув VBS на вашу систему. В даний час браузерні пісочниці досить жорсткі, тому якщо ви не виконали файл, ваша система, швидше за все, добре.

— dsstorefile1

@DavidPostill Проголосуйте за повторне відкриття. На мою думку, це не дублікат, тому що тут йдеться не про зараження, а про те, щоб браузер не виконав файл vbs.

— LPChip

@LPChip Як ми знаємо, що браузер не виконує файл? Це не сказано в питанні.

— DavidPostill

@DavidPostill Дійсно, але мій браузер також не працює, і більшість інших - ні. Це трохи розтягнути припущення, що воно було виконане, і саме тому я думаю, що це питання ще не слід закривати.

— LPChip

@dsstorefile Я розумію це і дякую за відповідь. Я використовую firefox. Мене більше турбує інше приховане зловмисне програмне забезпечення десь, яке використовує це для копіювання моїх файлів та надсилання їх кудись ще. Чи є спосіб я це відстежувати?

— zeo takall

Багато веб-сайтів, які використовують подвиги, спробують завантажити скрипт у тимчасову папку, а потім виконати його.

Сучасні браузери, що оновлюються, не будуть вразливими до цього. Це може означати, що веб-сайт все ще може викликати завантаження, але замість того, щоб цей файл завантажувався у тимчасову папку і для цього був невидимим для користувача, файл замість цього завантажується у папку для завантаження.

Якщо зловмисне програмне забезпечення було б успішним, ви, безумовно, знаєте, що такі інфекції завжди помітні небажаною рекламою, збільшенням використання процесора, серед інших симптомів.

Цілком ймовірно, що ваш браузер захистив вас.

Зауважте, Internet Explorer - один з небагатьох браузерів, який все ще дуже вразливий для цих подвигів, браузери на основі хрому - ні, і сучасний Firefox не повинен бути жодним із них.

Переконатися, що це завжди буде важко, але якщо зараження шкідливим програмним забезпеченням було успішним, сценарій .vbs, швидше за все, більше не буде у ваших завантаженнях.

— LPChip
джерело