elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  [Ayuda] descifrando un virus
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 Ir Abajo Respuesta Imprimir
Autor Tema: [Ayuda] descifrando un virus  (Leído 18,489 veces)
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: [Ayuda] descifrando un virus
« Respuesta #10 en: 13 Julio 2015, 17:09 pm »

hmm cierto! no tiene los "sub function" o cosas as XD por eso me pareció tan extrañamente parecido a jscript desde el inicio
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.885



Ver Perfil
Re: [Ayuda] descifrando un virus
« Respuesta #11 en: 13 Julio 2015, 17:10 pm »

Añado al comentario de @Mad Antrax:

Windows Script Host

Saludos
En línea



danny920825

Desconectado Desconectado

Mensajes: 175


Ver Perfil WWW
Re: [Ayuda] descifrando un virus
« Respuesta #12 en: 13 Julio 2015, 17:40 pm »

Hola de nuevo, dejenme consultarlos, ahora que veo que se unieron los 3 grandes que admiro (Elektro, Mad Antrax y engel lex). Estaba leyendo el contenido de wikipedia y dice que si, que windows script host ejecuta Jscripst, y sus derivados, vbs y sus derivados y otros como WSH y WSF. Pero lo que quiero preguntar haciendo un parentesis en su investigacion de que hace este amigo que estamos entendiendo, es como yo pongo el codigo y que me salga como lo puso "engel lex" o sea, identado, porque a mi me salio corrido.
En línea

"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: [Ayuda] descifrando un virus
« Respuesta #13 en: 13 Julio 2015, 17:46 pm »

Hola de nuevo, dejenme consultarlos, ahora que veo que se unieron los 3 grandes que admiro (Elektro, Mad Antrax y engel lex). Estaba leyendo el contenido de wikipedia y dice que si, que windows script host ejecuta Jscripst, y sus derivados, vbs y sus derivados y otros como WSH y WSF. Pero lo que quiero preguntar haciendo un parentesis en su investigacion de que hace este amigo que estamos entendiendo, es como yo pongo el codigo y que me salga como lo puso "engel lex" o sea, identado, porque a mi me salio corrido.

El codigo original que has posteado está "ofuscado", basicamente se trata de una laaaaarga cadena de caracteres, luego un bucle recorre la cadena y transforma los caracteres hexadecimal en su valor decimal, luego ese numero la parsea en la tabla ascii y lo transforma en un caracter "imprimible". El final de todo termina contruyendo una cadena de código JS que es ejecutada por la función eval()

angel lex ha dumpeado la variable final "ll" y la ha pegado bajo las etiquetas geshi, para que se pueda leer de forma más comoda. Ahora solo falta analizar que ocurre en cada linea del JS "deofuscado" :D
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: [Ayuda] descifrando un virus
« Respuesta #14 en: 13 Julio 2015, 17:47 pm »

hmmm sorry por no explicar...

lo que hice

como se que el eval (la ultima instrucción) ejecuta, lo meti en la consola de chrome, y luego busqué que contenia "ll"

eso trae todo el código en una linea... de ahí me fui a http://jsbeautifier.org/, tiré el código y lo "embellecí", esa herramienta es muy útil para desofuscar
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
danny920825

Desconectado Desconectado

Mensajes: 175


Ver Perfil WWW
Re: [Ayuda] descifrando un virus
« Respuesta #15 en: 13 Julio 2015, 18:17 pm »

Gracias por el dato de la web. Pero a lo que me refiero es a que cuando publique un codigo por ejemplo en VBS me salga con colores, que tengo que poner?
En línea

"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: [Ayuda] descifrando un virus
« Respuesta #16 en: 13 Julio 2015, 18:22 pm »

:P las etiqeutas GeSHi

estás arriba de los emticones a la derecha, ahí te salen los lenguajes y pegas el código entre etiquetas :P
« Última modificación: 13 Julio 2015, 18:23 pm por engel lex » En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
danny920825

Desconectado Desconectado

Mensajes: 175


Ver Perfil WWW
Re: [Ayuda] descifrando un virus
« Respuesta #17 en: 13 Julio 2015, 18:27 pm »

Gracias, ya lo vi. Muchas gracias por todo. Al final, que es lo que hace el codigo?
En línea

"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.524


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: [Ayuda] descifrando un virus
« Respuesta #18 en: 13 Julio 2015, 18:33 pm »

Te contesto con preguntas: Qué es lo que has hecho para saberlo; además de preguntar a los demas? Has intentado, siquiera, por tus medios tratar de comprenderlo?

 :silbar:
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

danny920825

Desconectado Desconectado

Mensajes: 175


Ver Perfil WWW
Re: [Ayuda] descifrando un virus
« Respuesta #19 en: 13 Julio 2015, 19:19 pm »

Sip, pero solo entiendo algo ligero de vbs y 2 de sus objetos fundamentales el 'scripting.filesystemobject' y el 'wscript.shell'

Para empezar, define 4 objetos, los 2 anteriores, Shell.Application y WbemScripting.SWbemLocator, ambos desconocidos para mi.

De ahi pasa a definir segun lo que veo, a seleccionar la codificacion, que no se con que objetivo se hace. Luego define variables como la carpeta de inicio del usuario, y varias llaves del registro, la primera supongo que es la de autoinicio y la segunda es el icono del script, el cual recoge de la clase .jpg.
Hasta ahi, todo es facil de entender, pero lo demas se dificulta porque no entiendo el codigo.
En línea

"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno
Páginas: 1 [2] 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Cifrando y Descifrando C#
.NET (C#, VB.NET, ASP)
junxcosio 6 16,215 Último mensaje 15 Enero 2010, 10:41 am
por junxcosio
Descifrando un algoritmo
PHP
Feedeex 4 4,187 Último mensaje 29 Diciembre 2010, 17:20 pm
por WHK
Ayuda! Descifrando clave wep Con Acceso limitado 200mil ivs...
Wireless en Linux
Gospi 1 3,266 Último mensaje 7 Octubre 2012, 08:04 am
por Sh4k4
Chip TPM y descifrando patron
Criptografía
pindonga123 3 32,004 Último mensaje 22 Octubre 2014, 20:53 pm
por pindonga123
Descifrando Malwared
Análisis y Diseño de Malware
s3tH 1 3,410 Último mensaje 11 Noviembre 2015, 21:29 pm
por _TTFH_3500
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines