[Ayuda] descifrando un virus

Iniciado por danny920825, 11 Julio 2015, 17:04 PM

0 Miembros y 3 Visitantes están viendo este tema.

engel lex

hmm cierto! no tiene los "sub function" o cosas as XD por eso me pareció tan extrañamente parecido a jscript desde el inicio
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Eleкtro

Añado al comentario de @Mad Antrax:

Windows Script Host

Saludos








danny920825

Hola de nuevo, dejenme consultarlos, ahora que veo que se unieron los 3 grandes que admiro (Elektro, Mad Antrax y engel lex). Estaba leyendo el contenido de wikipedia y dice que si, que windows script host ejecuta Jscripst, y sus derivados, vbs y sus derivados y otros como WSH y WSF. Pero lo que quiero preguntar haciendo un parentesis en su investigacion de que hace este amigo que estamos entendiendo, es como yo pongo el codigo y que me salga como lo puso "engel lex" o sea, identado, porque a mi me salio corrido.
"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno

Mad Antrax

Cita de: danny920825 en 13 Julio 2015, 17:40 PM
Hola de nuevo, dejenme consultarlos, ahora que veo que se unieron los 3 grandes que admiro (Elektro, Mad Antrax y engel lex). Estaba leyendo el contenido de wikipedia y dice que si, que windows script host ejecuta Jscripst, y sus derivados, vbs y sus derivados y otros como WSH y WSF. Pero lo que quiero preguntar haciendo un parentesis en su investigacion de que hace este amigo que estamos entendiendo, es como yo pongo el codigo y que me salga como lo puso "engel lex" o sea, identado, porque a mi me salio corrido.

El codigo original que has posteado está "ofuscado", basicamente se trata de una laaaaarga cadena de caracteres, luego un bucle recorre la cadena y transforma los caracteres hexadecimal en su valor decimal, luego ese numero la parsea en la tabla ascii y lo transforma en un caracter "imprimible". El final de todo termina contruyendo una cadena de código JS que es ejecutada por la función eval()

angel lex ha dumpeado la variable final "ll" y la ha pegado bajo las etiquetas geshi, para que se pueda leer de forma más comoda. Ahora solo falta analizar que ocurre en cada linea del JS "deofuscado" :D
No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.

engel lex

hmmm sorry por no explicar...

lo que hice

como se que el eval (la ultima instrucción) ejecuta, lo meti en la consola de chrome, y luego busqué que contenia "ll"

eso trae todo el código en una linea... de ahí me fui a http://jsbeautifier.org/, tiré el código y lo "embellecí", esa herramienta es muy útil para desofuscar
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

danny920825

Gracias por el dato de la web. Pero a lo que me refiero es a que cuando publique un codigo por ejemplo en VBS me salga con colores, que tengo que poner?
"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno

engel lex

#16
:P las etiqeutas GeSHi

estás arriba de los emticones a la derecha, ahí te salen los lenguajes y pegas el código entre etiquetas :P
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

danny920825

Gracias, ya lo vi. Muchas gracias por todo. Al final, que es lo que hace el codigo?
"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno

MCKSys Argentina

Te contesto con preguntas: Qué es lo que has hecho para saberlo; además de preguntar a los demas? Has intentado, siquiera, por tus medios tratar de comprenderlo?

:silbar:
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


danny920825

Sip, pero solo entiendo algo ligero de vbs y 2 de sus objetos fundamentales el 'scripting.filesystemobject' y el 'wscript.shell'

Para empezar, define 4 objetos, los 2 anteriores, Shell.Application y WbemScripting.SWbemLocator, ambos desconocidos para mi.

De ahi pasa a definir segun lo que veo, a seleccionar la codificacion, que no se con que objetivo se hace. Luego define variables como la carpeta de inicio del usuario, y varias llaves del registro, la primera supongo que es la de autoinicio y la segunda es el icono del script, el cual recoge de la clase .jpg.
Hasta ahi, todo es facil de entender, pero lo demas se dificulta porque no entiendo el codigo.
"Los que reniegan de Dios es por desesperación de no encontrarlo".
   Miguel de Unamuno