Si crees que podría ser malicioso, entonces no deberías simplemente subirlo a Internet, si alguien más también lo ejecuta. Publique el contenido aquí, en lugar de referirse al archivo en sí.
Máté Juhász
2
Si hace algo. ¿Por qué estás ejecutando código VBS al azar?
Ramhound
1
¿Por qué? ¿Por qué alguna vez ejecutarías un script aleatorio de VBS que obtuviste de Internet? Quiero decir, claro, era Skype, pero aún así. Si no conoce personalmente a alguien y no lo ha conocido en la vida real, nunca debe ejecutar un archivo de script, especialmente sin comprender cómo funciona.
mrdorkface
1
Estudié la primera mitad del script, que genera y ejecuta otro script que crea dinámicamente. Durante esta fase, Defender identificó el segundo guión como "Gusano: VBS / Jenxcus.K". Cambié las instrucciones de ejecución a msgbox y envié la variable a un archivo. Es un gusano. Sin duda.
w32sh
@ Máté Juhász: es solo un enlace a lo que contiene el archivo, no el archivo en sí.
Gigi
Respuestas:
4
Está ofuscado y puedes estar seguro de que no es benigno. Considere su computadora en la que la ejecutó como "no segura". Lo que significa que no debe hacer ningún tipo de banca en él, no ordenar nada por Internet y no confiar en esa máquina en absoluto.
En una máquina diferente, una que no se vea comprometida, cambie todas las contraseñas de sus cuentas y luego no acceda a esas cuentas desde la computadora infectada.
Sería aconsejable reformatear la computadora en la que ejecutó el script desde medios buenos conocidos, preferiblemente con el Arranque seguro habilitado en su BIOS / UEFI cuando inicia ese medio para hacerlo.
@ Raystafarian Estoy apostando cuotas. Lo recibió por Skype, los estafadores no hacen ese tipo de cosas por el lulz, errar en el lado seguro es asumir que es malicioso.
headkase
Además, por lo que vi del código antes de que fuera editado, había un montón de variables de aspecto aleatorio definidas. No sé cómo escribir VBS, pero supongo que las variables se hicieron galimatías para confundir a alguien que intenta leerlo, lo que implica que el archivo es malicioso; si no hizo nada malo, ¿por qué hacer que sea difícil de entender? ? @Raystafarian
mrdorkface
@Raystafarian Se ha decodificado. Ver la otra respuesta.
DavidPostill
Obviamente no me estoy comunicando con suficiente claridad como para expresar mi punto, lo siento.
Raystafarian
4
Si usted todavía está preocupado por lo que podría haber sucedido a su ordenador, echar un vistazo a este (líneas se transforman en cadenas Por razones de seguridad). No intente ejecutar este código si no sabe lo que está haciendo. Estoy en el cajero automático, así que no puedo analizar este código en profundidad, pero no parece bueno. De una descripción rápida descubrí que hay
Manipulación de archivos y carpetas
Manipulación del registro (especialmente programas de inicio)
Envío de solicitudes (noté un dominio en particular: kingprog.publicvm.com, pero puede haber muchos otros)
Manipulación de la unidad
Es posible que desee pedirle a alguien que revise esto o espere unas horas hasta que llegue a casa y me pondré en contacto con usted con más información.
Todavía te recomendaría que sigas los consejos de headkase.
EDITAR En caso de que no esté claro, el enlace adjunto es el código vbs desobuscado
Intenté visitar el dominio a través de tor, y todo lo que sucedió fue que dijo que el sitio no estaba disponible. ¿Quizás es un archivo antiguo y el sitio al que hace referencia ya no está activo?
Bien. Tor tiene scripts deshabilitados, por lo que el riesgo parecía bajo. (también, si la computadora portátil de mi escuela se infecta, es mucho mejor para mí, tengo una excusa para limpiarla y poder usarla para lo que quiera). @Ramhound
mrdorkface
1
¡Descifré este código vbscript!
El archivo sospechoso se encuentra en esta carpeta. %Appdata%
Y verifique en su registro cualquier entrada sospechosa en:
Utilizo un vbscript que puede encontrar cualquier archivo vbscript sospechoso ejecutándose en segundo plano.
Entonces, este código puede recuperar la ubicación y copiar el código fuente de este archivo vbscript sospechoso: simplemente, copie y pegue como Find_any_Running_VbsCode.vbs y ejecútelo haciendo doble clic:
Option Explicit
Dim Title,colItems,objItem,FilePath,ws
Dim MyProcess,LogFile,fso,Contents,arrCommandLine
MyProcess ="Wscript.exe"
Title ="Searching for instances of "& DblQuote(MyProcess)&" by Hackoo 2016"Set fso = CreateObject("Scripting.FileSystemObject")Set ws = CreateObject("WScript.Shell")
LogFile = Left(Wscript.ScriptFullName, InstrRev(Wscript.ScriptFullName,"."))&"txt"If fso.FileExists(LogFile)Then
fso.DeleteFile(LogFile)EndIfSet colItems = GetObject("winmgmts:").ExecQuery("Select * from Win32_Process " _
&"Where Name like '%"& MyProcess &"%' AND NOT commandline like '%"& wsh.scriptname &"%'",,48)ForEach objItem in colItems
arrCommandLine = Split(objItem.CommandLine,DblQuote(" "))'msgbox objItem.CommandLineIf arrCommandLine(1)="/c"Then'msgbox arrCommandLine(2)
FilePath = Replace(arrCommandLine(2),chr(34),"")else'msgbox arrCommandLine(1)
FilePath = Replace(arrCommandLine(1),chr(34),"")endif
FilePath = Trim(FilePath)
Msgbox "A suspicious file is running at this location : "& vbCrLF & DblQuote(FilePath),vbExclamation,Title
If Len(FilePath)>0Then
Contents = ReadFile(FilePath,"all")Call WriteLog(DblQuote(FilePath)& vbCrlf &String(100,"*")& vbCrlf &_
Contents & vbCrlf &String(100,"*")& vbCrlf,LogFile)EndIfNextIf fso.FileExists(LogFile)Then
ws.run DblQuote(LogFile)Else
MsgBox "No running instances found for this process "&_
DblQuote(MyProcess),vbExclamation,Title
EndIf'**************************************************Function DblQuote(Str)
DblQuote = Chr(34)& Str & Chr(34)EndFunction'**************************************************Function ReadFile(path,mode)Const ForReading =1Dim objFSO,objFile,i,strLine
Set objFSO = CreateObject("Scripting.FileSystemObject")Set objFile = objFSO.OpenTextFile(path,ForReading)If mode ="byline"thenDim arrFileLines()
i =0DoUntil objFile.AtEndOfStream
RedimPreserve arrFileLines(i)
strLine = objFile.ReadLine
strLine = Trim(strLine)If Len(strLine)>0Then
arrFileLines(i)= strLine
i = i +1
ReadFile = arrFileLines
EndIfLoop
objFile.Close
EndIfIf mode ="all"then
ReadFile = objFile.ReadAll
objFile.Close
EndIfEndFunction'***************************************************Sub WriteLog(strText,LogFile)Dim fso,ts
Const ForAppending =8Set fso = CreateObject("Scripting.FileSystemObject")Set ts = fso.OpenTextFile(LogFile,ForAppending,True,-1)
ts.WriteLine strText
ts.Close
EndSub'***************************************************
Respuestas:
Está ofuscado y puedes estar seguro de que no es benigno. Considere su computadora en la que la ejecutó como "no segura". Lo que significa que no debe hacer ningún tipo de banca en él, no ordenar nada por Internet y no confiar en esa máquina en absoluto.
En una máquina diferente, una que no se vea comprometida, cambie todas las contraseñas de sus cuentas y luego no acceda a esas cuentas desde la computadora infectada.
Sería aconsejable reformatear la computadora en la que ejecutó el script desde medios buenos conocidos, preferiblemente con el Arranque seguro habilitado en su BIOS / UEFI cuando inicia ese medio para hacerlo.
fuente
Si usted todavía está preocupado por lo que podría haber sucedido a su ordenador, echar un vistazo a este (líneas se transforman en cadenas Por razones de seguridad). No intente ejecutar este código si no sabe lo que está haciendo. Estoy en el cajero automático, así que no puedo analizar este código en profundidad, pero no parece bueno. De una descripción rápida descubrí que hay
Es posible que desee pedirle a alguien que revise esto o espere unas horas hasta que llegue a casa y me pondré en contacto con usted con más información.
Todavía te recomendaría que sigas los consejos de headkase.
EDITAR En caso de que no esté claro, el enlace adjunto es el código vbs desobuscado
fuente
¡Descifré este código vbscript!
El archivo sospechoso se encuentra en esta carpeta.
%Appdata%
Y verifique en su registro cualquier entrada sospechosa en:
y
Utilizo un vbscript que puede encontrar cualquier archivo vbscript sospechoso ejecutándose en segundo plano.
Entonces, este código puede recuperar la ubicación y copiar el código fuente de este archivo vbscript sospechoso: simplemente, copie y pegue como Find_any_Running_VbsCode.vbs y ejecútelo haciendo doble clic:
fuente