Analizando El Virus Worm:JS/Bonda Que Se Propaga Por USB

Iniciado por Flamer, 1 Septiembre 2016, 18:26 PM

0 Miembros y 1 Visitante están viendo este tema.

Flamer

Ase poco un amigo me presto su USB para pasarle unos archivos y al ponerla en mi computadora me salto el antivirus y era por que tenia varios accesos directos en ella, bueno decidí  he charle manos a la obra y busque la ubicación del virus en la memoria para ver si podía jugar un rato con el y descubrí que era un archivo .js , orale dije ya dejaron de usar el vbscript y se cambiaron a javascript jajajaja.

yo pienso que se cambiaron para hacer las cosas un poco mas difíciles y si mi fuerte no es javascript pero verde no estoy, así que decidí abrir el archivo con el notepad++ (Descargar aquí sino lo tienen: https://notepad-plus-plus.org/ ) y esto fue lo que me encontre:

http://paste.ofcode.org/h4iyPUuPn5xMWsrbvPLijy

al verlo me pareció complicado de entender pero después de un rato di con el truco.
remplace las ultimas lineas por estas:

Código (javascript) [Seleccionar]

var P = this, r = String, N = "\len\gt\h";
var e = function(l) {
 return parseInt(l, 31)
}, p = function (S) {
 return e(S[0]) ^ e(S[1])
};
var v = [];
var z = "";
var Q = "fr\o\m\C\h\ar\C\o\d\e";
for (var y = 0; y < b[N] / 3; y++) v[y] = "";
for (var S = 0; S < b[N]; S++) v[Math.floor(S / 3)] += b[S];
for (var J = 0; J < v[N];) z +=  String.fromCharCode(p([v[J++], v[J++]]));


var fso  = new ActiveXObject("Scripting.FileSystemObject");
var fh = fso.CreateTextFile("Test.js", true);
fh.WriteLine(z);
fh.Close();
//P["\Fun\ct\i\on"](z)();


la ultima linea que puse como comentario es la que ejecutaba todo el código desde una función, así que la deje como comentario y la variable z es la que portaba todo el código ya descifrado y para no desaprovechar el contenido de la variable z cree un archivo llamado Test.js para que se aguardara el código en el cuando se ejecutara.

al ejecutar el script me creo el archivo Test.js con todo el código descifrado, pero con la diferencia de que todo estaba desordenado, así que me fui a una pagina para que me lo ordenara un poco esta es la web:

http://jsbeautifier.org/

solo pegue el código y le di clic al boton   Beautify javascript or HTML

y el resultado fue este:

http://paste.ofcode.org/5JWR5RLzh5ZkcLixGgLuBb

bueno  hay que remplazar unas comas por punto y coma, no esta al  %100 pero estaba peor y como dije el jscript no es mi fuerte así que no lo explicare ya que hay muchas cosas que no entiendo.

bueno saludo Flamer y espero le sirva a alguien




Shell Root

#1
Como ejecutaba el js? Bonita *****!
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

Flamer

#2
Cita de: Shell Root en  1 Septiembre 2016, 20:57 PM
Como ejecutaba el js? Bonita *****!
No te entendí¿?
¿Como se ejecutaba en las memorias o que?

MCKSys Argentina

Creo que se refiere al método por el cual se ejecuta el virus: por ej. autorun, etc.

Si estaba en el USB: cómo te infectabas? Con sólo colocar la memoria ya sucedía? O había que ejecutar algo?

Saludos!

PD: Hermosa pieza de código. Es para analizarlo con atención.
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Flamer

Ocultaba los archivos de la memoria y los remplazaba por accesos directos, engañando al usuario para que les diera click ya que tenían el mismo icono y nombre

Saludos y creo que mencione los accesos directos al principio del tema

Shell Root

#5
Entiendo que los archivos estaban ocultos, que eran acceso directos... pero como se convertian en acceso directo? Es decir, se crea un archivo directo y se pone de ruta el js? En realidad debe ser JScript? javascript <> JScript?
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

Flamer

#6
1-el formato .js es de javascript hasta hay bien

2- el virus esta con la extensión .js

3- si tienes razón Jscript y javascript no es lo mismo

4- cometí un error al decir que Jscript no era mi fuerte en el primer comentario, cuando realmente era javascript me equivoque

5- se oculta el archivo verdadero y en su lugar se queda un acceso directo parecido a el y cuando se ejecuta el acceso directo se ejecuta el virus y el archivo original

eso se hace modificando esta parte del acceso directo




salu2