Ase poco un amigo me presto su USB para pasarle unos archivos y al ponerla en mi computadora me salto el antivirus y era por que tenia varios accesos directos en ella, bueno decidí he charle manos a la obra y busque la ubicación del virus en la memoria para ver si podía jugar un rato con el y descubrí que era un archivo .js , orale dije ya dejaron de usar el vbscript y se cambiaron a javascript jajajaja.
yo pienso que se cambiaron para hacer las cosas un poco mas difíciles y si mi fuerte no es javascript pero verde no estoy, así que decidí abrir el archivo con el notepad++ (Descargar aquí sino lo tienen:
https://notepad-plus-plus.org/ ) y esto fue lo que me encontre:
http://paste.ofcode.org/h4iyPUuPn5xMWsrbvPLijyal verlo me pareció complicado de entender pero después de un rato di con el truco.
remplace las ultimas lineas por estas:
var P = this, r = String, N = "\len\gt\h";
var e = function(l) {
return parseInt(l, 31)
}, p = function (S) {
return e(S[0]) ^ e(S[1])
};
var v = [];
var z = "";
var Q = "fr\o\m\C\h\ar\C\o\d\e";
for (var y = 0; y < b[N] / 3; y++) v[y] = "";
for (var S = 0; S < b[N]; S++) v[Math.floor(S / 3)] += b[S];
for (var J = 0; J < v[N];) z += String.fromCharCode(p([v[J++], v[J++]]));
var fso = new ActiveXObject("Scripting.FileSystemObject");
var fh = fso.CreateTextFile("Test.js", true);
fh.WriteLine(z);
fh.Close();
//P["\Fun\ct\i\on"](z)();
la ultima linea que puse como comentario es la que ejecutaba todo el código desde una función, así que la deje como comentario y la variable z es la que portaba todo el código ya descifrado y para no desaprovechar el contenido de la variable z cree un archivo llamado Test.js para que se aguardara el código en el cuando se ejecutara.
al ejecutar el script me creo el archivo Test.js con todo el código descifrado, pero con la diferencia de que todo estaba desordenado, así que me fui a una pagina para que me lo ordenara un poco esta es la web:
http://jsbeautifier.org/solo pegue el código y le di clic al boton Beautify javascript or HTML
y el resultado fue este:
http://paste.ofcode.org/5JWR5RLzh5ZkcLixGgLuBbbueno hay que remplazar unas comas por punto y coma, no esta al %100 pero estaba peor y como dije el jscript no es mi fuerte así que no lo explicare ya que hay muchas cosas que no entiendo.
bueno saludo Flamer y espero le sirva a alguien