Worm.Win32. AutoIt.tc
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах.
Червь, создающий свои копии на локальных дисках и доступных для записи сетевых ресурсах. Является скомпилированным скриптом AutoIt. Имеет размер 808842 байта.
Инсталляция
После запуска червь выполняет следующие действия:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
«csrcs» = «%System%\csrcs.exe»
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
«csrcs» = «%System%\csrcs.exe»
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell» = «Explorer.exe csrcs.exe»
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
«Hidden» = «2»
«SuperHidden» = «0»
«ShowSuperHidden» = «0»
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\Showall]
«CheckedValue» = «1»
Распространение
Червь копирует свое тело на все доступные для записи сетевые, логические и съемные диски под случайным именем (например: «bxxtic.exe»).
Вместе со своим исполняемым файлом червь помещает файл:
что позволяет ему запускаться каждый раз, когда пользователь открывает зараженный раздел при помощи программы «Проводник».
Созданным файлам присваиваются атрибуты «скрытый» (hidden) и «системный» (system).
Деструктивная активность
После запуска червь выполняет следующие действия:
где – случайное шестнадцатеричное число, а – случайная последовательность латинских букв (например: «aslbvjd»).
Файлы предназначены для временного использования, и удаляются в процессе работы червя. (1061 байт) (751 байт)
Введение в AutoIt. Урок 1
Коротко о главном.
Что такое AutoIt?
Какой софт нужен для работы с AutoIt?
Нужный софт можно скачать с оффициального сайта AutoIt
Введение в AutoIt
Как говорилось выше с помощью AutoIt(далее AI) можно автоматизировать почти всё происходящее на компьютере.
Переменные
Вывод данных
Вывод данных делается с помощью команды ConsoleWrite(«текст или перем»).
Соединение строк организуется не символом «+» а символом «&»
Ввод данных
Только через GUI есть консольный ввод но с ним очень много мороки. Я за свои полгода работы на AI так с ним и не разобрался
Условия и операторы
Операторы присваивания
Математические операторы
Операторы сравнения
Цикл While организуется так.
Ну и цикл For… In… Next замена foreach.
Массивы
Массивы объявляются командой dim вот так.
На этом я решаюсь закончить статью.
Ссылки.
О песочнице
Это «Песочница» — раздел, в который попадают дебютные посты пользователей, желающих стать полноправными участниками сообщества.
Если у вас есть приглашение, отправьте его автору понравившейся публикации — тогда её смогут прочитать и обсудить все остальные пользователи Хабра.
Чтобы исключить предвзятость при оценке, все публикации анонимны, псевдонимы показываются случайным образом.
О модерации
Не надо пропускать:
Доступно об AutoIt
AutoIt — это BASIC’овидный язык программирования, на котором можно создавать боты (имитация действия пользователя) для автоматизации таких работ, т.е управлять другими приложениями (запускать их, нажимать в них кнопки, менюшки…).
— Симулировать нажатия комбинаций клавиатуры (поддерживается основная масса раскладок клавиатуры);
— Симулировать перемещения указателя мыши и нажатия на ее кнопки;
— Перемещать, менять размер и управлять параметрами отображения окон;
— Непосредственно взаимодействовать с «управляющими элементами» (controls) окна (получать/менять надпись, перемещать, отключать, и т.п. действия);
— Работать с буфером обмена для пересылки его текстового содержания;
— Читать, менять и создавать ключи и значения реестра.
Новая версия AutoIt3 распознает общепринятые конструкции и имеет стандартный синтаксис, напоминающий синтаксис VBScript и BASIC, и поддерживает обработку сложных выражений, выполнение собственных функций, проводит циклические и условные вычисления.
И самым знаменательным является тот факт, что AutoIt остается бесплатным.
Какой софт нужен для работы с AutoIt? (практический опыт использования одного из наших коллег)
Большой выбор функций конечно же можно найти в интернете.
Т.к. работа по выгрузке документов могла выполняться на мониторах с разным типом разрешения, то необходимо было занести данные по разрешениям мониторов, которые используются в организации, в специальный настроечный файл. Для этого я использовал INI-файл. Autoit работает с данным типом файлов и для этих целей есть пять функций:
IniDelete(«filename»,»section»[,»key»]) — удалить секцию или значение из ini-файла.
IniRead(«filename»,»section»,»key»,»default») — считать значение из ini-файла.
IniReadSection(«filename»,»section») — считать все пары секция/значение из ini-файла.
IniReadSectionNames(«filename») — считать имена всех секций из ini-файла.
IniWrite(«filename»,»section»,»key»,»value») — записать значение в ini-файл.
В начале работы определяется разрешение монитора:
И в зависимости от разрешения считываются координаты из настроечного INI-файла.
В настроечный файл записываются данные, необходимые в дальнейшей работе, например, адрес сервера, логин (без пароля), пути выгрузки, которые вы вводите в начале работы, далее чтение и запросы на ввод/изменение данных:
И отражение данных в INI-файле:
Данные по клиентам считываем из. XLSX файла:
Получив данные для выгрузки, начинаем работать с АС, т.е. организуем цикл по количеству клиентов и непосредственную выгрузку документов. В каждой АС есть определенные пункты меню, к которым можно получим доступ по определенным сочетаниям клавиш, например: Alt+F1, Alt+1, Ctrl+t, Ctrl+n… либо за сочетанием клавиш закреплены определенные действия в АС: проваливание в список, вывод на экран информации, формирование отчетов.
Далее организуем цикл по количеству клиентов, считанных из входного XLSX-файла:
Ниже представлен блок на обработку установки фильтра по типу документов:
Для определения координат окон, кнопок на экране, или их цвета (если это необходимо) используется приложение Autoit Window Info, которое входит в состав пакета.
Статистика выгрузки документов заносится в отдельный INI-фал, по каждому клиенту и типу документов, что выручает нас при аварийном завершении (например, зависание АС). Процесс выгрузки начинается с того клиента, на котором произошел сбой.
Если по какой-то причине не прошла выгрузка документа, например, очень долгий ответ от АС или зависание АС, то в INI-файл пишется информация о невыгруженном файле и времени записи в INI-файл:
Также интересен блок по обработке (т.е. выгрузке) файлов большого объема (более
100 МБ), т.к. сохранение файлов такого объема из АС может занимать относительно значительное время. В данном случае работает цикл по считываю объема сохраняемого файла и сравнивается с реальным размером файла:
Я привел вашему вниманию основные блоки по обработке задачи, которая стояла перед скриптом Autolt.
В завершении, мне удалось автоматизировать процесс выгрузки требуемого пакета документов из АС с использованием AutoIt, что помогло разгрузить пользователя от однообразной и рутинной работы.
Программное обеспечение можно использовать для выполнения аналогичных повторяющихся задач. Спасибо за внимание.
Удалить Trojan.Autoit (Инструкция)
Trojan.Autoit или Trojan:W32/AutoIt это имя, которым антивирус называет признаки заражения компьютера вредоносной программой, которая может скачивать другое вредоносное ПО и запускать его на зараженном компьютере. Более того, такие трояны очень часто поражают установленные веб-браузеры и могут изменять их настройки и ярлыки. Подобные вирусы чаще всего проникают на компьютер в составе бесплатных программ или при скачивании и запуске поддельных обновлений Флеш плеера или Java. Сразу после запуска, Trojan.Autoit вирус добавляет себя в автозагрузку, чтобы запускаться при каждом включении компьютера автоматически. Все время, пока этот вирус активен, он может показывать большое количество рекламы в браузерах, изменять настройки всех установленных в системе веб-браузеров и таким образом перенаправлять пользователя на разные рекламные или вводящие в заблуждение веб сайты.
Если вы заметили, что ваш антивирус стал обнаруживать Trojan.Autoit вирус, то не нужно ждать, нужно как можно быстрее выполнить инструкцию, которая приведена ниже.
Часто встречающиеся симптомы заражения Trojan.Autoit вирусом
Способы очистки вашего компьютера от Trojan.Autoit
Как удалить Trojan.Autoit (пошаговая инструкция)
Чтобы удалить эту инфекцию и восстановить настройки браузеров Google Chrome, Internet Explorer, Mozilla Firefox, выполните пошаговую инструкцию приведённую ниже. Вам понадобиться использовать стандартные возможности Windows и несколько проверенных бесплатных программ. Эта инструкция — это пошаговое руководство, которое нужно выполнять шаг за шагом. Если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем форуме.
Проверить компьютер программой AdwCleaner
AdwCleaner это небольшая программа, которая не требует установки на компьютер и создана специально для того, чтобы находить и удалять рекламные и потенциально ненужные программы. Эта утилита не конфликтует с антивирусом, так что можете её смело использовать. Деинсталлировать вашу антивирусную программу не нужно.
Скачайте программу AdwCleaner кликнув по следующей ссылке.
После окончания загрузки программы, запустите её. Откроется главное окно AdwCleaner.
Кликните по кнопке Сканировать. Программа начнёт проверять ваш компьютер. Когда проверка будет завершена, перед вами откроется список найденных компонентов вредоносных программ.
Кликните по кнопке Очистка. AdwCleaner приступ к лечению вашего компьютера и удалит все найденные компоненты зловредов. По-окончании лечения, перезагрузите свой компьютер.
Проверить компьютер программой Malwarebytes Anti-malware
Malwarebytes Anti-malware это широко известная программа, созданная для борьбы с разнообразными рекламными и вредоносными программами. Она не конфликтует с антивирусом, так что можете её смело использовать. Деинсталлировать вашу антивирусную программу не нужно.
Скачайте программу Malwarebytes Anti-malware используя следующую ссылку.
Когда программа загрузится, запустите её. Перед вами откроется окно Мастера установки программы. Следуйте его указаниям.
Когда инсталляция будет завершена, вы увидите главное окно программы.
Автоматически запуститься процедура обновления программы. Когда она будет завершена, кликните по кнопке Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.
Когда проверка компьютера закончится, Malwarebytes Anti-malware покажет вам список найденных частей вредоносных и рекламных программ.
Для продолжения лечения и удаления зловредов вам достаточно нажать кнопку Удалить выбранное. Этим вы запустите процедуру удаления рекламных и вредоносных программ.
Проверить компьютер программой Kaspersky Virus Removal Tool
Скачайте программу используя следующую ссылку.
После окончания загрузки запустите скачанный файл.
Кликните по кнопке Начать проверку для запуска сканирования вашего компьютера на наличие вируса-шифровальщика.
Дождитесь окончания этого процесса и удалите найденных зловредов.
Сбросить настройки веб-браузеров
Chrome
Откройте главное меню Хрома, кликнув по кнопке в виде трёх горизонтальных полосок ( ). Появится меню как на нижеследующей картинке.
Выберите пункт Настройки. Открывшуюся страницу прокрутите вниз и найдите ссылку Показать дополнительные настройки. Кликните по ней. Ниже откроется список дополнительных настроек. Тут вам нужно найти кнопку Сброс настроек и кликнуть по ней. Гугл Хром попросит вас подтвердить свои действия.
Нажмите кнопку Сбросить. После этого, настройки браузера будут сброшены к первоначальным и восстановится ваша домашняя страница и поисковик.
Firefox
Откройте главное меню Хрома, кликнув по кнопке в виде трёх горизонтальных полосок ( ). В появившемся меню кликните по иконке в виде знака вопроса (
). Это вызовет меню Справка, как показано на рисунке ниже.
Здесь вам нужно найти пункт Информация для решения проблем. Кликните по нему. В открывшейся странице, в разделе Наладка Firefox нажмите кнопку Очистить Firefox. Программа попросит вас подтвердить свои действия.
Нажмите кнопку Очистить Firefox. В результате этих действий, настройки браузера будут сброшены к первоначальным. Этим вы сможете восстановить вашу домашнюю страницу и поисковую машину.
Internet Explorer
Откройте главное браузера, кликнув по кнопке в виде шестерёнки ( ). В появившемся меню выберите пункт Свойства браузера.
Здесь откройте вкладку Дополнительно, а в ней нажмите кнопку Сброс. Откроется окно Сброс параметров настройки Internet Explorer. Поставьте галочку в пункте Удалить личные настройки, после чего кликните кнопку Сброс.
Когда процесс сброса настроек завершиться, нажмите кнопку Закрыть. Чтобы изменения вступили в силу вам нужно перезагрузить компьютер. Таким образом вы сможете избавиться от использования рекламного сайта в качестве вашей домашней страницы и поисковика.
Очистить ярлыки Интернет браузеров
При проникновении на компьютер Trojan.Autoit может изменить не только настройки ваших браузеров, но и их ярлыки. Благодаря чему, при каждом запуске браузера будет открываться рекламный сайт.
Для очистки ярлыка браузера, кликните по нему правой клавишей и выберите пункт Свойства.
Удалив этот текст нажмите кнопку OK. Таким образом очистите ярлыки всех ваших браузеров, так как все они могут быть заражены.
Проверить планировщик заданий
Мы рекомендуем, на последнем этапе очистки компьютера, проверить Библиотеку планировщика заданий и удалить все задания, которые были созданы вредоносными программами, так как именно они могут являться причиной автоматического открытия рекламного сайта при включении компьютера или через равные промежутки времени.
Нажмите на клавиатуре одновременно Windows и R (русская К). Откроется небольшое окно с заголовком Выполнить. В строке ввода введите «taskschd.msc» (без кавычек) и нажмите Enter. Откроется окно Планировщика заданий. В левой его части выберите пункт «Библиотека планировщика заданий», как показано на следующем примере.
В средней части вы увидите список установленных заданий. Выберите первое заданий, а в его свойствах, которые откроются чуть ниже выберите вкладку Действия. По очереди просматривайте все задания, обращайте внимание на то, что оно запускает на вашем компьютере. Нашли что-то подобное «explorer.exe hxxp://адрес сайта» или «chrome.exe hxxp://адрес сайта», то это задание можно смело удалять. Если вы не уверены, что запускает задание, то проверьте его через наш сайт или в поисковой системе, по названию запускаемого файла. Если файл — компонент вируса или вредоносной программы, то это задание тоже смело можно удалять.
Определившись с заданием, которое нужно удалить, кликните по нему правой клавишей мыши и выберите пункт Удалить. Этот шаг выполните несколько раз, если вы нашли несколько заданий, которые были созданы вредоносными программами. Пример удаления задания, созданого рекламным вирусом показан на рисунке ниже.
Удалив все задания, закройте окно Планировщика заданий.
Защитить компьютер от навязчивой рекламы и вредоносных сайтов
Чтобы повысить защиту своего компьютера, кроме антивирусной и антиспайварной программы, нужно использовать приложение блокирующее доступ к разннобразным опасным и вводящим в заблуждение веб-сайтам. Кроме этого, такое приложение может блокировать показ навязчивой рекламы, что так же приведёт к ускорению загрузки веб-сайтов и уменьшению потребления веб траффика.
Скачайте программу AdGuard используя следующую ссылку.
После окончания загрузки запустите скачанный файл. Перед вами откроется окно Мастера установки программы.
Кликните по кнопке Я принимаю условия и и следуйте указаниям программы. После окончания установки вы увидите окно, как показано на рисунке ниже.
Вы можете нажать Пропустить, чтобы закрыть программу установки и использовать стандартные настройки, или кнопку Начать, чтобы ознакомиться с возможностями программы AdGuard и внести изменения в настройки, принятые по-умолчанию.
В большинстве случаев стандартных настроек достаточно и менять ничего не нужно. При каждом запуске компьютера AdGuard будет стартовать автоматически и блокировать всплывающую рекламу,а так же другие вредоносные или вводящие в заблуждения веб странички. Для ознакомления со всеми возможностями программы или чтобы изменить её настройки вам достаточно дважды кликнуть по иконке AdGuard, которая находиться на вашем рабочем столе.
Выполнив эту инструкцию, Trojan.Autoit будет удален. Восстановиться ваша домашнаяя страница и поисковик, если они были изменены. К сожалению, авторы подобных приложений постоянно их обновляют, затрудняя лечение компьютера. Поэтому, в случае если эта инструкция вам не помогла, значит вы заразились новой версией вредоносной программы и тогда лучший вариант — обратиться на наш форум.
Для того чтобы в будущем больше не заразить компьютер, пожалуйста следуйте трём небольшим советам
Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.
Оставить комментарий Отменить ввод комментария
Добро пожаловать
На нашем сайте размещены инструкции и программы, которые помогут вам абсолютно бесплатно и самостоятельно удалить навязчивую рекламу, вирусы и трояны.
Автоматизация действий в Windows
Скачивание и установка
Чтобы начать пользоваться и начать писать скрипты на Autoit нужно скачать программу-обработчик, ссылка на страницу скачивания: https://www.autoitscript.com/site/autoit/downloads/
На момент написания этой статьи версия Autoit была v3.3.14.5.
Дальше нам желательно скачать специальный текстовый редактор AutoIt Script, ссылка на скачивание установщика: https://www.autoitscript.com/site/autoit-script-editor/downloads/
Можно конечно пользоваться и NotePad++, он поддерживает синтаксис Autoit, но я предпочитаю оригинальный редактор.
Порядок установки такой:
Если у вас 64-битная Windows, то выбираем «use native x64 tools by default», а если 32-битная, то оставляем как есть. Если же вы не знаете какая у вас Windows, также оставляем все как есть.
Также во время установки компилятора Autoit будет задан выбор, «run the script» и «edit the script», обязательно выбираем второй вариант, «edit the script, иначе каждый раз при открытия файла скрипта он будет запускаться, что нам не нужно.
После установки у нас в меню Пуск должен появиться пункт Autoit, заходим в него и выбираем Autoit Windows Info, открываем приложение.
Откройте этот пустой файл в оригинальном редакторе и увидите пару строк по умолчанию, это комментарии, все это можно удалить.
В утилите Autoit Windows Info, которую вы открыли до этого, жмем стрелку вправо до тех пор, пока не появится пункт «Mouse», который нам и будет нужен. Все остальное это для более серьезных вещей и не рассматривается в данном гайде.
Autoit Windows Info.
Основы Autoit
Итак, самое простое, как заставить курсор мыши бегать по экрану, кликать там где нужно, крутить колесиком мыши, щелкать правой кнопкой и тд. и тп. Основы синтаксиса и самые необходимые базовые конструкции я приведу ниже, все остальное найдете сами в интернете:
Sleep(время в миллисекундах), например, Sleep(30000) — останавливает исполнение кода на заданное время. В моем примере это 30.000 миллисекунд, что равно 30 секундам. Всегда ставим какую-нибудь задержку в самое начало кода, чтобы когда вы его запустили, у вас было время на переключение на нужное приложение и т.п.
MouseMove(x, y) — перемещение курсора мыши в заданные координаты Х и Y, измеряется в пикселях. Например,
MouseMove(150, 255) — переместит курсор в точку с координатами 150 пикселей по оси X (отступ слева) и 255 пикселей по оси Y (отступ сверху).
MouseClick(«какая кнопка», x, y, «сколько раз кликать, число») — как и впредыдущем случае перемещает курсор мыши в точку с координатами X и Y. Но также эта команда позволяет кликнуть по этим координатам, либо правой клавишей, либо левой, причем кликнуть нужное количество раз. Разберем на примере:
MouseClick(«left», 150, 255, 2) — команда кликнет 2 раза левой кнопкой мыши по точке с координатами 150 и 255 пикселей. Или:
MouseClick(«right», 150, 255, 1) — кликнет правой кнопкой мыши 1 раз по точке с координатами 150 и 255.
Вкладка Mouse.
. набор команд, любой код.
MouseClick(«left», 150, 255, 1)
Sleep(1000)
MouseClick(«left», 155, 269, 1)
Sleep(1500)
MouseClick(«left», 120, 251, 1)
Sleep(3000)
Насчет Sleep, как я уже говорил, это просто задержка. Советую всегда ставить Sleep между конструкциями действий, например, перемещения мыши.
И последнее, операции условий (ветвления) или как хотите называйте.
If … Else (если … иначе).
If (в скобках пишутся условия или выражения) Then (тогда)
. набор строк или команд.
Else (иначе)
. набор строк или команд.
Endif (конец ветвления)
Причем, Else — необязательно, можно и без него. Пример:
MouseClick(«left», 150, 255, 1)
MouseClick(«right», 150, 255, 1)
К примеру, в созданиях ботов для игр в качестве условия может выступать цвет пикселя, на который наведен курсор. Как вы помните, в утилите кроме координат еще показывает цвет пикселя в HEX формате.
В моем примере на картинке это 0xF0F4F9 (значение можно скопировать CTRL + C).
PixelGetcolor (x, y) — эта запись присваивает код цвета пикселя по координатам x,y в текстовом формате. Пример:
$x = 27
$y = 445
$i = «0xF0F4F9»
MouseClick(«left», 150, 255, 1)
Ну и напоследок, одной из кучи возможности Autoit является набор текста, вы можете послать в нужное место нужные набор символов.
Send(«текст») — отправляет слово «текст» в то место, где на данный момент находится курсор мыши.
Send(«
Ну про колесико мыши упомяну:
MouseWheel(«куда крутить», «сколько крутить») — крутит колесико мыши вверх или вниз нужное количество раз. Например,
MouseWheel(«up», 10) или MouseWheel(«down», 15) — прокрутит колесико (скролл) мыши 10 раз вверх или 15 раз вниз.
Запуск скрипта
Ну хорошо, мы все написали, сохранили и хотим проверить. Как запустить скрипт Autoit на исполнение? Есть два способа:
Если вы не расставите нужные задержки через Sleep, то не успеете остановить скрипт. Кстати, в редактор встроен отладчик, который подсветит красным неверный синтаксис и не даст запуститься скрипту, если в нем есть ошибки.
Писать можно долго, возможностей у языка очень много, это были просто основы для понимания. Если есть вопросы задавайте в комментариях. И не забывайте ставить Sleep.
