Как я расшифровал вредоносный скрипт

Тема в разделе "Трояны и шпионские программы", создана пользователем Crazy_Proger, 6 июн 2016.

↑ ↓
  1. Crazy_Proger Житель форума
    Crazy_Proger
    Ответить в чате

    Форумчанин

    Регистрация:
    05.03.2016
    Сообщения:
    6
    Симпатии:
    5
    Пол:
    Мужской
    Репа:
    +5 / 0 / -0
    Сегодня я вставил свою "публичную" флешку в ноут, и ESS-8 обнаружил на ней несколько вредоносов, которые определялись как "VBS/Kryptik.I" и "LNK/Agent.BN" - троянские программы.

    Оказывается, на флешке во время её предыдущего использования были созданы lnk-файлы, ссылающиеся на каждую папку и файл непосредственно в корневой директории флешки, а так же скрипт, который запускался при открытии каждого из lnk-файлов (в строке "объект" было указано: C:\WINDOWS\system32\cmd.exe /c start ulbloqmeed.vbs&start explorer 0&exit).

    Решил я посмотреть, что это за ulbloqmeed.vbs такой. Восстанавливаю из карантина, открываю и вижу сразу ОГРОМНУЮ sholoh itsholoh itsholoh it строку, в которой вроде бы записано арифметическое выражение, а сразу за строкой следуют вот такие операторы:

    nu = SPLIT(nu,"55*66*99-1+3")
    FOR X = 0 TO UBOUND(nu) -1
    anas = anas & ChrW(nu(X))
    NEXT
    EXECUTE ((anas))

    Как, наверное, видно, здесь идет преобразование огромной строки nu с выводом результата в другую строку anas и подозрительное её выполнение.

    Решил я вывести строку anas в текстовый файл и получил скрипт, который был зашифрован в строке nu.

    3 файла-скрипта: исходный, дешифрующий и конечный - приведены в архиве troy.rar (Пароль: 111).

    А теперь сама просьба: помогите разобраться, что этот скрипт делает (там больше 450 строк, сам пока не могу разобраться).
     

    Вложения:

    • troy.rar
      Размер файла
      16,1 КБ
      Просмотров:
      2
    • Мне нравится Мне нравится x 2
  2. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    Понять, что сей скрипт делает зело не мудрено... в общем это боянный "бэкдор" сорцы, которого везде лежат, просто обработанный "криптором", поэтому такой вид... а делает он следующее:
    1. Прописывается в автозагрузку (в Run и папку стартапа)
    2. Стучится в админку и ждет оттуда команду (может загрузить какой-то другой любой файл, например...)
    3. Но вам бояться нечего - его командный "сервер" сдох, поэтому никакой команды он скорее всего не получит
    4. А "сервер" его сдох года два назад... поэтому кроме самораспространения и простого житья в системе он ничего больше делать не может
     
    • Мне нравится Мне нравится x 3

Поделиться этой страницей