Questão O update.vbe é um código malicioso?


Eu encontrei a tarefa "update.vbe" em execução no meu agendador de tarefas, quando eu verifiquei que está localizado em "C: \ Usuários \ ???? \ AppData \ Roaming \ origem" e está definido para ser executado no logon /

Eu fiz algumas pesquisas e pesquisei, algumas pessoas estão dizendo que é um vírus que outros estão dizendo que é um trojan, mas ninguém parece ter certeza.

O arquivo é criptografado, então eu tive que descriptografá-lo e convertê-lo em um vbs para examiná-lo e ver o que ele está fazendo. Eu sei muito pouco vbscript e isso está além de mim ... vocês podem dar uma olhada e deixar-nos saber o que diabos está fazendo o código?

ligação: http://cha3ab.com/temp/

Eu tentei procurar respostas online, mas nada é consistente, eu acho que parte disso é devido ao fato de que ele é criptografado e ninguém se preocupou em decifrá-lo e depois examiná-lo. Eu tenho o Avira instalado, mas não consegui detectá-lo! Eu também tentei Hijackthis e alguns outros scanners de um Hiren BootCD, mas nenhum sinalizou! É estranho, mas eu realmente acho que pode ser um código malicioso! e as pessoas parecem não estar plenamente conscientes disso.

Sua ajuda é muito apreciada


1


origem


Essa questão parece estar fora do tópico, porque se trata da malícia (ou não) de um aplicativo em particular, e não do processo de desenvolvimento de software.
Por favor, note que este é um dup de uma questão encerrada em Estouro de pilha. A razão próxima sugere que este é um problema de "hardware e software geral de computação" e poderia ser apropriado para o superusuário. Não é uma pergunta apropriada em Programmers.SE (por favor, veja nosso Centro de ajuda para informações sobre quais tópicos nós aceitamos neste Stack Exchange).


Respostas:


É um minerador de moeda virtual (ie: bitcoin). Eles te infectaram com ele para usar seu computador / eletricidade para as minhas moedas.

Se você procurar os sites mencionados nas constantes, fica bastante óbvio que não é algo que você deseja:


3



Obrigado pelo irmão ajuda, eu realmente não ficaria preocupado desde que eu corro o Tinywall e o configurei para bloquear tudo que não está na lista branca. Em relação aos sites designados no id das constantes, ida e idb, eu não sabia como descriptografá-los, queria ver para quem este código está enviando dados / informações ou o que eles estão procurando. Mais uma vez obrigado mate - firewire