Recibí un .vbs en Skype y lo ejecuté

-3

Recibí un archivo .vbs en Skype y lo ejecuté. Por favor, avíseme si hace algo.

el código contenido

Gigi
fuente
2
Si crees que podría ser malicioso, entonces no deberías simplemente subirlo a Internet, si alguien más también lo ejecuta. Publique el contenido aquí, en lugar de referirse al archivo en sí.
Máté Juhász
2
Si hace algo. ¿Por qué estás ejecutando código VBS al azar?
Ramhound
1
¿Por qué? ¿Por qué alguna vez ejecutarías un script aleatorio de VBS que obtuviste de Internet? Quiero decir, claro, era Skype, pero aún así. Si no conoce personalmente a alguien y no lo ha conocido en la vida real, nunca debe ejecutar un archivo de script, especialmente sin comprender cómo funciona.
mrdorkface
1
Estudié la primera mitad del script, que genera y ejecuta otro script que crea dinámicamente. Durante esta fase, Defender identificó el segundo guión como "Gusano: VBS / Jenxcus.K". Cambié las instrucciones de ejecución a msgbox y envié la variable a un archivo. Es un gusano. Sin duda.
w32sh
@ Máté Juhász: es solo un enlace a lo que contiene el archivo, no el archivo en sí.
Gigi

Respuestas:

4

Está ofuscado y puedes estar seguro de que no es benigno. Considere su computadora en la que la ejecutó como "no segura". Lo que significa que no debe hacer ningún tipo de banca en él, no ordenar nada por Internet y no confiar en esa máquina en absoluto.

En una máquina diferente, una que no se vea comprometida, cambie todas las contraseñas de sus cuentas y luego no acceda a esas cuentas desde la computadora infectada.

Sería aconsejable reformatear la computadora en la que ejecutó el script desde medios buenos conocidos, preferiblemente con el Arranque seguro habilitado en su BIOS / UEFI cuando inicia ese medio para hacerlo.

headkase
fuente
1
@ Raystafarian Estoy apostando cuotas. Lo recibió por Skype, los estafadores no hacen ese tipo de cosas por el lulz, errar en el lado seguro es asumir que es malicioso.
headkase
Además, por lo que vi del código antes de que fuera editado, había un montón de variables de aspecto aleatorio definidas. No sé cómo escribir VBS, pero supongo que las variables se hicieron galimatías para confundir a alguien que intenta leerlo, lo que implica que el archivo es malicioso; si no hizo nada malo, ¿por qué hacer que sea difícil de entender? ? @Raystafarian
mrdorkface
@Raystafarian Se ha decodificado. Ver la otra respuesta.
DavidPostill
Obviamente no me estoy comunicando con suficiente claridad como para expresar mi punto, lo siento.
Raystafarian
4

Si usted todavía está preocupado por lo que podría haber sucedido a su ordenador, echar un vistazo a este (líneas se transforman en cadenas Por razones de seguridad). No intente ejecutar este código si no sabe lo que está haciendo. Estoy en el cajero automático, así que no puedo analizar este código en profundidad, pero no parece bueno. De una descripción rápida descubrí que hay

  • Manipulación de archivos y carpetas
  • Manipulación del registro (especialmente programas de inicio)
  • Envío de solicitudes (noté un dominio en particular: kingprog.publicvm.com, pero puede haber muchos otros)
  • Manipulación de la unidad

Es posible que desee pedirle a alguien que revise esto o espere unas horas hasta que llegue a casa y me pondré en contacto con usted con más información.

Todavía te recomendaría que sigas los consejos de headkase.

EDITAR En caso de que no esté claro, el enlace adjunto es el código vbs desobuscado

Trascendental
fuente
1
Intenté visitar el dominio a través de tor, y todo lo que sucedió fue que dijo que el sitio no estaba disponible. ¿Quizás es un archivo antiguo y el sitio al que hace referencia ya no está activo?
mrdorkface
Bien. Tor tiene scripts deshabilitados, por lo que el riesgo parecía bajo. (también, si la computadora portátil de mi escuela se infecta, es mucho mejor para mí, tengo una excusa para limpiarla y poder usarla para lo que quiera). @Ramhound
mrdorkface
1

¡Descifré este código vbscript!

El archivo sospechoso se encuentra en esta carpeta. %Appdata%

Y verifique en su registro cualquier entrada sospechosa en:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run

y

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run

Utilizo un vbscript que puede encontrar cualquier archivo vbscript sospechoso ejecutándose en segundo plano.

Entonces, este código puede recuperar la ubicación y copiar el código fuente de este archivo vbscript sospechoso: simplemente, copie y pegue como Find_any_Running_VbsCode.vbs y ejecútelo haciendo doble clic:

Option Explicit
Dim Title,colItems,objItem,FilePath,ws
Dim MyProcess,LogFile,fso,Contents,arrCommandLine
MyProcess = "Wscript.exe"
Title = "Searching for instances of "& DblQuote(MyProcess) &" by Hackoo 2016"
Set fso = CreateObject("Scripting.FileSystemObject")
Set ws = CreateObject("WScript.Shell")
LogFile = Left(Wscript.ScriptFullName, InstrRev(Wscript.ScriptFullName, ".")) & "txt"
If fso.FileExists(LogFile) Then
    fso.DeleteFile(LogFile)
End If
Set colItems = GetObject("winmgmts:").ExecQuery("Select * from Win32_Process " _
& "Where Name like '%"& MyProcess &"%' AND NOT commandline like '%" & wsh.scriptname & "%'",,48)
For Each objItem in colItems
    arrCommandLine = Split(objItem.CommandLine,DblQuote(" "))
    'msgbox objItem.CommandLine
    If arrCommandLine(1) = "/c" Then 
    'msgbox arrCommandLine(2)
        FilePath = Replace(arrCommandLine(2),chr(34),"")
    else
    'msgbox arrCommandLine(1)
        FilePath = Replace(arrCommandLine(1),chr(34),"")
    end if 
    FilePath = Trim(FilePath)
    Msgbox "A suspicious file is running at this location : " & vbCrLF & DblQuote(FilePath),vbExclamation,Title
    If Len(FilePath) > 0 Then   
        Contents = ReadFile(FilePath,"all")
        Call WriteLog(DblQuote(FilePath) & vbCrlf & String(100,"*")& vbCrlf &_
        Contents & vbCrlf & String(100,"*") & vbCrlf,LogFile)
    End If  
Next
If fso.FileExists(LogFile) Then
    ws.run DblQuote(LogFile)
Else
    MsgBox "No running instances found for this process " &_
    DblQuote(MyProcess),vbExclamation,Title
End If  
'**************************************************
Function DblQuote(Str)
    DblQuote = Chr(34) & Str & Chr(34)
End Function
'**************************************************
Function ReadFile(path,mode)
    Const ForReading = 1
    Dim objFSO,objFile,i,strLine
    Set objFSO = CreateObject("Scripting.FileSystemObject")
    Set objFile = objFSO.OpenTextFile(path,ForReading)
    If mode = "byline" then
        Dim arrFileLines()
        i = 0
        Do Until objFile.AtEndOfStream
            Redim Preserve arrFileLines(i)
            strLine = objFile.ReadLine
            strLine = Trim(strLine)
            If Len(strLine) > 0 Then
                arrFileLines(i) = strLine
                i = i + 1
                ReadFile = arrFileLines
            End If  
        Loop
        objFile.Close
    End If
    If mode = "all" then
        ReadFile = objFile.ReadAll
        objFile.Close
    End If
End Function
'***************************************************
Sub WriteLog(strText,LogFile)
    Dim fso,ts 
    Const ForAppending = 8
    Set fso = CreateObject("Scripting.FileSystemObject")
    Set ts = fso.OpenTextFile(LogFile,ForAppending,True,-1)
    ts.WriteLine strText
    ts.Close
End Sub
'***************************************************
Hackoo
fuente