VBS, wirus - analiza

Odpowiedz Nowy wątek
2018-06-15 12:36
1

Witam.

na maila przyszła wiadomość z "fakturą" zawierająca zipa a w nim skrypt VBS.

Niestety odbiorca nie pomyślał i chciał fakturę zobaczyć...

Treść skryptu:
https://pastebin.com/wkPLZAuT

Otwierając link z pliku (próbowałem http://XXX.174.170.104/z/10:10:10 PM, http://XXX.174.170.104/z/10:10:10PM, http://XXX.174.170.104/z/10:10:10)
("wyiksowałem" 107 żeby nikt przez przypadek nie kliknął)
wyświetla się pusta strona (źródło jest puste, podglądając aktywność w "network" (w przeglądarce) też cisza).

Czy to oznacza, że to g... już/jeszcze nie działa?
Czy może wysyłający czeka aż pojawi się połączenie z większej ilości adresów (skrypt wchodzi w nieskończoną pętle) i dopiero wtedy wrzuci zawartość strony (pewnie kolejny skrypt)?
Czy jednak mogło coś niewidocznie zrobić?

Zastanawiam się też czy ten komentarz w pierwszej linijce mógł w rzeczywistości nie być komentarzem i coś robić...

Pozostało 580 znaków

2018-11-05 12:47
0
Michal Weidner napisał(a):

[…] dlatego nieopatrznie otworzyłem .rar w telefonie ale tylko to. Nie otwierałem pliku .vbs

Nawet gdybyś otworzył plik .rar na pececie, to też nic by nie stało – co innego w przypadku archiwum samorozpakowującego, ale to ma zwykle rozszerzenie .exe.

Coś mi grozi? W rar mogło być jeszcze inne świństwo ukryte?

Nawet jeśli było (a tego przecież nie widać gołym okiem), ale tego nie uruchamiałeś, to nic Ci nie grozi. Usuń to archiwum, jeśli nie jesteś pewien jego bezpieczeństwa i miej problem z głowy.


edytowany 1x, ostatnio: furious programming, 2018-11-05 12:48

Pozostało 580 znaków

2018-11-05 19:44
0

Dzięki Panowie za odpowiedź :)
Prawie bym otworzył vbs ale jeszcze raz przeanalizowałem treść email i jakiś dziwny jednak był, więc zacząłem szukać w necie odpowiedzi :)

Pozostało 580 znaków

2018-11-05 19:58
1
Michal Weidner napisał(a):

Prawie bym otworzył vbs ale jeszcze raz przeanalizowałem treść email i jakiś dziwny jednak był […]

Odeślij go nadawcy – na pewno się ucieszy. ;)


Pozostało 580 znaków

2018-11-09 11:10
0
furious programming napisał(a):
Michal Weidner napisał(a):

Prawie bym otworzył vbs ale jeszcze raz przeanalizowałem treść email i jakiś dziwny jednak był […]

Odeślij go nadawcy – na pewno się ucieszy. ;)

Szanowni, ja niestety nieopatrznie tego VBSa kliknalem….zamuliło mi to windoze 10 totalnie tak, że musiałem kompa zrestartować. Pytanie, czy mocno narozrabiałem? Jak to sprawdzić? Standardowy Symantec Security sprawdzi jednoznacznie czy czymś kompa zainfekowałem?
Mail miał tytuł: faktura110718_2218. Nadawca: Paweł Primel [email protected]

Pozostało 580 znaków

2018-11-09 15:50
0

@pepes: całkiem możliwe, że masz już wirusy/trojany na pokładzie plus np. zaszyfrowane lub wykradzione pliki. Antywirus może znaleźć problemy i je usunąć, ale nigdy nie ma pewności, że znajdzie wszystko. Jedynym w stu procentach pewnym rozwiązaniem jest zaoranie systemu i postawienie go on nowa (oraz sformatowanie wszystkich pozostałych partycji).

Sugeruję najpierw poczytać artykuły na temat takich ataków i dobranie odpowiedniej strategii ratowania danych. W razie braku pewności przywróć system do ustawień fabrycznych i usuń pozostałe dane.


Pozostało 580 znaków

2018-11-09 16:31
0

@pepes możesz otworzyć tego VBSa w notatniku i przeanalizować, co konkretnie mógł on zrobić.

Pozostało 580 znaków

Odpowiedz
Liczba odpowiedzi na stronę

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0