Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

coder.vbs

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Odpovědět
Zpráva
Autor
koncentrak
Návštěvník
Návštěvník
Příspěvky: 26
Registrován: 12 dub 2007 15:14

coder.vbs

#1 Příspěvek od koncentrak »

Dobrý den,
z ničeho nic :D se mi v PC objevil ve složce "po spuštění" program coder.vbs, pokud sem ho smazal => vždy po chvíli se tam zase objevil za což mohl program wscript.exe, jakmile jsem oba programy zakázal/smazal tak je vše ok, nicméně by mě zajímalo co zmíněny coder.vbs vlastně dělal

Kód: Vybrat vše

Function eoiq(eoiqd)
  For eoiqdr = 1 To Len(eoiqd)
    eoiqdrg = eoiqdrg  + (Mid(eoiqd, Len(eoiqd) - eoiqdr + (11 - 10), (152 - 151)) * ((121 - 119) ^ (eoiqdr - (5 - 4))))
  Next
  eoiq = eoiqdrg
End Function
eoiqdrgq = "100111#111100#1011011#..."
eoiqdrgqg = ""
For Each eoiqdrgqge In Split(eoiqdrgq, "#")
  eoiqdrgqg = eoiqdrgqg & chr(eoiq(eoiqdrgqge))
next
Execute eoiqdrgqg
zde sem musel kód značně ořezat, konkrétně proměnou (myslím že jde o proměnou) "eoiqdrgq"
celý kód je v příloze
je někdo schopen mi říct, z přiloženého kódu poznat co vlastně onen vbs dělal?
Díky
Přílohy
Codervbs.rar
(6.62 KiB) Staženo 60 x
Koncentrak
Nahoru
altrok
Moderátor
Moderátor
Příspěvky: 7322
Registrován: 15 lis 2012 22:26
Bydliště: Znojmo

Re: coder.vbs

#2 Příspěvek od altrok »

Ahoj,

z niceho nic? Jasne :D
Jedna se o obfuskovany kod - aby ses podival na deobfuskovany kod (a tedy abys mohl zjistit, co dela), vubec si nemusis vsimat algoritmu v coder.vbs. Staci ti smazat posledni radek (aby se deobfuskovany skript nespustil) a promennou "eoiqdrgqg" si vyexportuj do textaku. Voila, relativne citelny kod ;)

Onen payload je tady https://virustotal.com/cs/file/32b2a085 ... 488464459/

Jen zbezne jsem do kodu koukal a vypada to na cerva, co se siri pres USB a na flasce ti ze souboru a slozek vytvori zastupce. Pak se snazi si na portu 1122 povidat s xhostvw55(.)ddns(.)net, diva se po pritomnych antivirech apod.

Btw. nejsem si uplne jistej, jestli jsi smazanim coder.vbs ze startups problem uplne vyresil.

Na vic jsem takhle narychlo provedenou statickou analyzou neprisel.

/e tady mas povidani o tom, co vsechno dokaze https://blog.cyren.com/articles/finding ... udini.html
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.
Nahoru
Odpovědět

Zpět na „Řešení problémů, logy“