В интернете появился агрессивный вирус, написанный на JavaScript, который выключает компьютер, если пользователь пытается прервать исполнение скрипта вручную.

После включения компьютера скрипт сразу же возобновляет работу, поскольку находится в папке автозагрузки. Угрозу обнаружили эксперты ресурса Kahu Security, сообщает CNews. По данным экспертов, программы такого типа существуют с 2014 года, однако редко демонстрируют настолько агрессивное поведение. Программа распространяется через электронный спам.

Вирус отличается сложным кодом. Скрипт состоит из переменных и функций, но понять, где заканчивается один фрагмент и начинается другой, затруднительно из-за отсутствия пробелов. Кроме обычных методов запутывания, в коде использованы зашифрованные символы, поиск и перемещение регулярных выражений, иносказания и так далее.

Вредоносная программа устанавливает соединение с адресом urchintelemetry.com и отсылает туда все идентификационные данные заражённого компьютера. Одновременно вирус связывается с адресом 95.153.31.22, чтобы скачать с него зашифрованный файл, тоже написанный на JavaScript. Он заменяет домашнюю страницу интернет-браузера на адрес login.hhtxnet.com с последующей переадресацией на ресурс portalne.ws.

Кроме того, второй файл на JavaScript проводит поиск инструментов защиты на компьютере. Если какой-то инструмент представляет для него опасность, вирус завершает его работу, выдав поддельное сообщение об ошибке. Если же пользователь посчитает процесс wscript.exe подозрительным и попытается его прервать вручную, скрипт отдаст команду выключить компьютер.

Побороть вирус можно, только перейдя в безопасный режим или войдя в систему с другой учётной записи. После этого нужно вручную удалить ярлык Start и папку Startup в AppDataRoaming.