à Tous !
Je me suis interessé sur les nouveaux virus qui circulent partout ces jours-ci et j'ai remarqué qu'il a parmis ces derniers qui sont cryptés ou bien disons codés pour qu'ils puissent contourner les antivirus.
Donc dans le but de faire un outil de nettoyage pour mettre tout en ordre et effacer leurs traces , je dois alors lire son contenu càd son code source original pour voir quelles sont les clés de la base des registre qui ont été modifié ou bien été ajouté ou bien été supprimé avant d'être crypté ou bien codé.
Hier j'ai réussi à décoder un virus qui circule sur les clés USB ,c'est parce que j'ai vu à la fin de la source une fonction qui décode son contenu en l'exécutant donc j'ai pris cette derniére et je l'ai modifié pour arriver enfin à décoder le contenu de ce virus.
Voila cette Fonction:
et voila le code que je l'ai testé pour décoder ce dernier, bon je vais pas mettre le code viral en entier ici
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2 avira ="code crypté du virus"'Bien sûr il n'est pas lisible For i = 1 To Len(avira) : PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 1) : Next : Execute(PRGT)mais juste pour qu'il me déchiffre les trois premiers lignes
et qu'il va afficher ceci:
Code vbs : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8 avira ="(cz!;!NzMpwfGbdfCppl/MjvZjGfjAIpunbjm/DpNpo!fssps!sftvnf!ofyuejn!nztpvsdf-xjoqbui-gmbtiesjwf-gt-ng-bus-ug-sh-ou-difdl-te" For i = 1 To Len(avira) PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 1) Next set fso = CreateObject("Scripting.FileSystemObject") NomFichierLog = "Fichierdecode.txt" Set OutPut = fso.OpenTextFile(NomFichierLog,2,True) OutPut.Writeline PRGT
Donc ma question est : connaissant la fonction de décodage ou bien de décryptage comment je peux faire l'inverse càd déterminer la fonction de codage ou bien de Cryptage ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3 'by : MyLoveFaceBook.LiuYiFei@Hotmail.CoM on error resume next dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd
Remarque: juste à titre d'information on a chpoé ce même type de virus il y a presque un an dans notre établissement et voila il nous rend-viste ces jours-ci![]()
de votre éventuelle aide
![]()
Partager