VIRY.CZ

Dobrý den,
z ničeho nic

se mi v PC objevil ve složce "po spuštění" program coder.vbs, pokud sem ho smazal => vždy po chvíli se tam zase objevil za což mohl program wscript.exe, jakmile jsem oba programy zakázal/smazal tak je vše ok, nicméně by mě zajímalo co zmíněny coder.vbs vlastně dělal

Kód: Vybrat vše

Function eoiq(eoiqd)
  For eoiqdr = 1 To Len(eoiqd)
    eoiqdrg = eoiqdrg  + (Mid(eoiqd, Len(eoiqd) - eoiqdr + (11 - 10), (152 - 151)) * ((121 - 119) ^ (eoiqdr - (5 - 4))))
  Next
  eoiq = eoiqdrg
End Function
eoiqdrgq = "100111#111100#1011011#..."
eoiqdrgqg = ""
For Each eoiqdrgqge In Split(eoiqdrgq, "#")
  eoiqdrgqg = eoiqdrgqg & chr(eoiq(eoiqdrgqge))
next
Execute eoiqdrgqg

zde sem musel kód značně ořezat, konkrétně proměnou (myslím že jde o proměnou) "eoiqdrgq"
celý kód je v příloze
je někdo schopen mi říct, z přiloženého kódu poznat co vlastně onen vbs dělal?
Díky

Ahoj,

z niceho nic? Jasne

Jedna se o obfuskovany kod - aby ses podival na deobfuskovany kod (a tedy abys mohl zjistit, co dela), vubec si nemusis vsimat algoritmu v coder.vbs. Staci ti smazat posledni radek (aby se deobfuskovany skript nespustil) a promennou "eoiqdrgqg" si vyexportuj do textaku. Voila, relativne citelny kod

Onen payload je tady https://virustotal.com/cs/file/32b2a085 ... 488464459/

Jen zbezne jsem do kodu koukal a vypada to na cerva, co se siri pres USB a na flasce ti ze souboru a slozek vytvori zastupce. Pak se snazi si na portu 1122 povidat s xhostvw55(.)ddns(.)net, diva se po pritomnych antivirech apod.

Btw. nejsem si uplne jistej, jestli jsi smazanim coder.vbs ze startups problem uplne vyresil.

Na vic jsem takhle narychlo provedenou statickou analyzou neprisel.

/e tady mas povidani o tom, co vsechno dokaze https://blog.cyren.com/articles/finding ... udini.html

VIRY.CZ

coder.vbs

coder.vbs

Re: coder.vbs