JSE 恶意脚清理.docxVIP

最近发现这东西开始疯狂流行了。先感谢一线所有杀毒组同事，每天辛勤的提供样本。特别感谢小虎，给我提供了这次的 JSE 恶意脚本样本。下面进入正题行为说明JSE 脚本，和VBS 属于一个类别。都是通过系统文件：wscript.exe 这个文件的调用来运行。因为二者自身都是通过正常的系统文件为宿主来运行，往往不会被安全软件报告为病毒、木马程序。因此经常可以“逍遥法外”。本次讲解的JSE 恶意脚本，就可以完全逃脱目前大部分杀软的监控。其行为如下：随机释放恶意脚本到 C 盘随机文件夹。（经测试多数样本，普遍是在Program files下）。在“启动”里面，放入启动项。篡改 （仅）C 盘内的全部 快捷方式。主要包括：桌面，开始菜单内的快捷方式，以及 快速启动栏。这3处。当然也包括用户自己在C盘内创建的其他 快捷方式。篡改后，把快捷方式的 打开方式，改为：Microsoft Windows Script Host，即：wscript.exe程序。桌面创建 5 个图标： 2个恶意IE图标，2个淘宝图标 和 1个“小游戏（CS图标）”篡改系统IE首页，弹出广告页面（经测试，大部分样本都是弹出假的淘宝网站）二. 现象图解我们来看下，该恶意脚本运行后，系统的变化。先看下我正常的系统，桌面上有如下图标，请注意下图中 WinRAR 快捷图标：来看下正常的WinRAR 快捷方式的“属性”下面，我双击样本 JSE 恶意脚本，大家看下下图的变化：很明显，桌面5个恶意图标，WinRAR 快捷方式也发生了变化（小箭头没了~），且直接弹出了恶意窗口，假淘宝网站。现在来看下“WinRAR 快捷方式”的属性可以看到，文件类型被改成了程序；打开方式 Microsoft Windows………显然，是被恶意篡改了。同样，开始菜单里面的绝大部分快捷方式也被修改，并且加入了一个启动项大致就这些了。下面我们来进行查杀清理操作。查杀流程并不复杂，只是需要大家的细心！三．查杀流程1。打开WSC，选择：安全检查——文件搜索⑴ 在文件过滤处，写入： *.jse⑵ 搜索目录,改成 C:\ ，即：搜索全部C盘⑶ 去掉 限制时间 的勾然后开始搜索，如图：稍加分析，即可发现，上图中的 2个 JSE，都是恶意的，比如：D-tools，是著名的 Daemon tools虚拟光驱，但它下面怎么会有IE？把搜索到的全部 JSE 文件，都删除~2． WSC 安全检查 —— 活动文件，查看是否添加了恶意启动项，有的话，则选择：修复并删除文件。如图：3 删除后，使用 360系统急救箱。不需要查毒，只进行 系统修复 操作即可。如图，我这里是旧版本的：4． 看图，修复完成（并成功）后，快捷方式即可恢复：可以看到久违的“小箭头”了。再看下WinRAR快捷方式的 属性，如图，恢复正常了：6。看下 开始菜单里面的 快捷方式。都正常了。特别是“启动”文件夹，里面没了。至此，清理操作结束，目前从我这里测试的样本来看，没有异常问题。残留一个小的bug，是我第一次测试的时候出的问题，急救箱修复完快捷方式后，虽然都能正常使用了，但是快捷方式的图标，都是空白的，就是没图标的样子。这时候，我们可以借助：“TweakUI”，这款软件，来“重建图标缓存”，如图：打开软件选择——修复组件，右边选择——重建图标缓存，点开始修复，即可。软件下载地址： /softdown/26929_2.htm使用方法，见下图：