Сегодня я вставил свою "публичную" флешку в ноут, и ESS-8 обнаружил на ней несколько вредоносов, которые определялись как "VBS/Kryptik.I" и "LNK/Agent.BN" - троянские программы.
Оказывается, на флешке во время её предыдущего использования были созданы lnk-файлы, ссылающиеся на каждую папку и файл непосредственно в корневой директории флешки, а так же скрипт, который запускался при открытии каждого из lnk-файлов (в строке "объект" было указано: C:\WINDOWS\system32\cmd.exe /c start ulbloqmeed.vbs&start explorer 0&exit).
Решил я посмотреть, что это за ulbloqmeed.vbs такой. Восстанавливаю из карантина, открываю и вижу сразу ОГРОМНУЮ строку, в которой вроде бы записано арифметическое выражение, а сразу за строкой следуют вот такие операторы:
nu = SPLIT(nu,"55*66*99-1+3")
FOR X = 0 TO UBOUND(nu) -1
anas = anas & ChrW(nu(X))
NEXT
EXECUTE ((anas))
Как, наверное, видно, здесь идет преобразование огромной строки nu с выводом результата в другую строку anas и подозрительное её выполнение.
Решил я вывести строку anas в текстовый файл и получил скрипт, который был зашифрован в строке nu.
3 файла-скрипта: исходный, дешифрующий и конечный - приведены в архиве troy.rar (Пароль: 111).
А теперь сама просьба: помогите разобраться, что этот скрипт делает (там больше 450 строк, сам пока не могу разобраться).
Оказывается, на флешке во время её предыдущего использования были созданы lnk-файлы, ссылающиеся на каждую папку и файл непосредственно в корневой директории флешки, а так же скрипт, который запускался при открытии каждого из lnk-файлов (в строке "объект" было указано: C:\WINDOWS\system32\cmd.exe /c start ulbloqmeed.vbs&start explorer 0&exit).
Решил я посмотреть, что это за ulbloqmeed.vbs такой. Восстанавливаю из карантина, открываю и вижу сразу ОГРОМНУЮ строку, в которой вроде бы записано арифметическое выражение, а сразу за строкой следуют вот такие операторы:
nu = SPLIT(nu,"55*66*99-1+3")
FOR X = 0 TO UBOUND(nu) -1
anas = anas & ChrW(nu(X))
NEXT
EXECUTE ((anas))
Как, наверное, видно, здесь идет преобразование огромной строки nu с выводом результата в другую строку anas и подозрительное её выполнение.
Решил я вывести строку anas в текстовый файл и получил скрипт, который был зашифрован в строке nu.
3 файла-скрипта: исходный, дешифрующий и конечный - приведены в архиве troy.rar (Пароль: 111).
А теперь сама просьба: помогите разобраться, что этот скрипт делает (там больше 450 строк, сам пока не могу разобраться).