• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Как я расшифровал вредоносный скрипт


Crazy_Proger

Пользователь
Форумчанин
Регистрация
05.03.2016
Сообщения
6
Репутация
4
Сегодня я вставил свою "публичную" флешку в ноут, и ESS-8 обнаружил на ней несколько вредоносов, которые определялись как "VBS/Kryptik.I" и "LNK/Agent.BN" - троянские программы.

Оказывается, на флешке во время её предыдущего использования были созданы lnk-файлы, ссылающиеся на каждую папку и файл непосредственно в корневой директории флешки, а так же скрипт, который запускался при открытии каждого из lnk-файлов (в строке "объект" было указано: C:\WINDOWS\system32\cmd.exe /c start ulbloqmeed.vbs&start explorer 0&exit).

Решил я посмотреть, что это за ulbloqmeed.vbs такой. Восстанавливаю из карантина, открываю и вижу сразу ОГРОМНУЮ sholoh itsholoh itsholoh it строку, в которой вроде бы записано арифметическое выражение, а сразу за строкой следуют вот такие операторы:

nu = SPLIT(nu,"55*66*99-1+3")
FOR X = 0 TO UBOUND(nu) -1
anas = anas & ChrW(nu(X))
NEXT
EXECUTE ((anas))

Как, наверное, видно, здесь идет преобразование огромной строки nu с выводом результата в другую строку anas и подозрительное её выполнение.

Решил я вывести строку anas в текстовый файл и получил скрипт, который был зашифрован в строке nu.

3 файла-скрипта: исходный, дешифрующий и конечный - приведены в архиве troy.rar (Пароль: 111).

А теперь сама просьба: помогите разобраться, что этот скрипт делает (там больше 450 строк, сам пока не могу разобраться).
 

Вложения

  • troy.rar
    16.1 КБ · Просмотры: 13

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
310
Понять, что сей скрипт делает зело не мудрено... в общем это боянный "бэкдор" сорцы, которого везде лежат, просто обработанный "криптором", поэтому такой вид... а делает он следующее:
1. Прописывается в автозагрузку (в Run и папку стартапа)
2. Стучится в админку и ждет оттуда команду (может загрузить какой-то другой любой файл, например...)
3. Но вам бояться нечего - его командный "сервер" сдох, поэтому никакой команды он скорее всего не получит
4. А "сервер" его сдох года два назад... поэтому кроме самораспространения и простого житья в системе он ничего больше делать не может
 
Верх Низ