Título: Analizando El Virus Worm:JS/Bonda Que Se Propaga Por USB Publicado por: Flamer en 1 Septiembre 2016, 18:26 pm Ase poco un amigo me presto su USB para pasarle unos archivos y al ponerla en mi computadora me salto el antivirus y era por que tenia varios accesos directos en ella, bueno decidí he charle manos a la obra y busque la ubicación del virus en la memoria para ver si podía jugar un rato con el y descubrí que era un archivo .js , orale dije ya dejaron de usar el vbscript y se cambiaron a javascript jajajaja.
yo pienso que se cambiaron para hacer las cosas un poco mas difíciles y si mi fuerte no es javascript pero verde no estoy, así que decidí abrir el archivo con el notepad++ (Descargar aquí sino lo tienen: https://notepad-plus-plus.org/ (https://notepad-plus-plus.org/)) y esto fue lo que me encontre: http://paste.ofcode.org/h4iyPUuPn5xMWsrbvPLijy (http://paste.ofcode.org/h4iyPUuPn5xMWsrbvPLijy) al verlo me pareció complicado de entender pero después de un rato di con el truco. remplace las ultimas lineas por estas: Código
la ultima linea que puse como comentario es la que ejecutaba todo el código desde una función, así que la deje como comentario y la variable z es la que portaba todo el código ya descifrado y para no desaprovechar el contenido de la variable z cree un archivo llamado Test.js para que se aguardara el código en el cuando se ejecutara. al ejecutar el script me creo el archivo Test.js con todo el código descifrado, pero con la diferencia de que todo estaba desordenado, así que me fui a una pagina para que me lo ordenara un poco esta es la web: http://jsbeautifier.org/ (http://jsbeautifier.org/) solo pegue el código y le di clic al boton Beautify javascript or HTML y el resultado fue este: http://paste.ofcode.org/5JWR5RLzh5ZkcLixGgLuBb (http://paste.ofcode.org/5JWR5RLzh5ZkcLixGgLuBb) bueno hay que remplazar unas comas por punto y coma, no esta al %100 pero estaba peor y como dije el jscript no es mi fuerte así que no lo explicare ya que hay muchas cosas que no entiendo. bueno saludo Flamer y espero le sirva a alguien Título: Re: Analizando El Virus Worm:JS/Bonda Que Se Propaga Por USB Publicado por: Shell Root en 1 Septiembre 2016, 20:57 pm Como ejecutaba el js? Bonita *****!
Título: Re: Analizando El Virus Worm:JS/Bonda Que Se Propaga Por USB Publicado por: Flamer en 1 Septiembre 2016, 21:41 pm Como ejecutaba el js? Bonita *****! No te entendí¿?¿Como se ejecutaba en las memorias o que? Título: Re: Analizando El Virus Worm:JS/Bonda Que Se Propaga Por USB Publicado por: MCKSys Argentina en 1 Septiembre 2016, 21:53 pm Creo que se refiere al método por el cual se ejecuta el virus: por ej. autorun, etc.
Si estaba en el USB: cómo te infectabas? Con sólo colocar la memoria ya sucedía? O había que ejecutar algo? Saludos! PD: Hermosa pieza de código. Es para analizarlo con atención. Título: Re: Analizando El Virus Worm:JS/Bonda Que Se Propaga Por USB Publicado por: Flamer en 1 Septiembre 2016, 22:19 pm Ocultaba los archivos de la memoria y los remplazaba por accesos directos, engañando al usuario para que les diera click ya que tenían el mismo icono y nombre
Saludos y creo que mencione los accesos directos al principio del tema Título: Re: Analizando El Virus Worm:JS/Bonda Que Se Propaga Por USB Publicado por: Shell Root en 1 Septiembre 2016, 22:52 pm Entiendo que los archivos estaban ocultos, que eran acceso directos... pero como se convertian en acceso directo? Es decir, se crea un archivo directo y se pone de ruta el js? En realidad debe ser JScript? javascript <> JScript?
Título: Re: Analizando El Virus Worm:JS/Bonda Que Se Propaga Por USB Publicado por: Flamer en 1 Septiembre 2016, 23:19 pm 1-el formato .js es de javascript hasta hay bien
2- el virus esta con la extensión .js 3- si tienes razón Jscript y javascript no es lo mismo 4- cometí un error al decir que Jscript no era mi fuerte en el primer comentario, cuando realmente era javascript me equivoque 5- se oculta el archivo verdadero y en su lugar se queda un acceso directo parecido a el y cuando se ejecuta el acceso directo se ejecuta el virus y el archivo original eso se hace modificando esta parte del acceso directo (http://fdzeta.com/subir/images/t7zUG.png) salu2 |