Discussion :

[hackoofr]

à Tous !
Je me suis interessé sur les nouveaux virus qui circulent partout ces jours-ci et j'ai remarqué qu'il a parmis ces derniers qui sont cryptés ou bien disons codés pour qu'ils puissent contourner les antivirus.
Donc dans le but de faire un outil de nettoyage pour mettre tout en ordre et effacer leurs traces , je dois alors lire son contenu càd son code source original pour voir quelles sont les clés de la base des registre qui ont été modifié ou bien été ajouté ou bien été supprimé avant d'être crypté ou bien codé.
Hier j'ai réussi à décoder un virus qui circule sur les clés USB ,c'est parce que j'ai vu à la fin de la source une fonction qui décode son contenu en l'exécutant donc j'ai pris cette derniére et je l'ai modifié pour arriver enfin à décoder le contenu de ce virus.
Voila cette Fonction:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
avira ="code crypté du virus"'Bien sûr il n'est pas lisible
For i = 1 To Len(avira) : PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 1) : Next : Execute(PRGT)

et voila le code que je l'ai testé pour décoder ce dernier, bon je vais pas mettre le code viral en entier ici mais juste pour qu'il me déchiffre les trois premiers lignes

Code vbs :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
avira ="(cz!;!NzMpwfGbdfCppl/MjvZjGfjAIpunbjm/DpNpo!fssps!sftvnf!ofyuejn!nztpvsdf-xjoqbui-gmbtiesjwf-gt-ng-bus-ug-sh-ou-difdl-te"
For i = 1 To Len(avira) 
PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 1)  
Next 
set fso = CreateObject("Scripting.FileSystemObject")
NomFichierLog = "Fichierdecode.txt"
Set OutPut = fso.OpenTextFile(NomFichierLog,2,True)
OutPut.Writeline PRGT

et qu'il va afficher ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
'by : MyLoveFaceBook.LiuYiFei@Hotmail.CoM
on error resume next
dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd

Donc ma question est : connaissant la fonction de décodage ou bien de décryptage comment je peux faire l'inverse càd déterminer la fonction de codage ou bien de Cryptage ?

Remarque: juste à titre d'information on a chpoé ce même type de virus il y a presque un an dans notre établissement et voila il nous rend-viste ces jours-ci

de votre éventuelle aide

[omen999]

salut,
la fonction de décodage est tout simplement un décalage d'un rang en arrière dans le tableau ascii
donc la fonction de codage est un décalage d'un rang ... en avant comme ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) + 1)

désactiver l'autorun des clés usb c'est pas une mauvaise idée...

[hackoofr]

omen999 et le problème maintenant est

[hackoofr]

à vous Tous ! et spécialement un grand à omen999 car tu m'a fais gagner un temps précieux pour comprendre cette fonction
Donc à titre d'essai et d'application j'ai fait ce vbscript que je voudrais bien que quelqu'un parmi vous me le teste sur son environnement et il me dit s'il y a des bugs ou non sur son système
Pour moi je l'ai testé sous Windows XP SP 3 et il marche très bien !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
Title = "EncodeVBSFile © Hackoo © 2011"
Question = MsgBox ("Did you want to Choose a file to be encoded ? " &vbcr &_
"CLICK YES TO ENCODE A FILE !"&vbcr &_
"OR CLICK NO TO QUIT THIS PROGRAM !",VBYesNO+VbQuestion,Title)
 If Question = VbYes then
 GetFile = BrowseForFile
set fso = CreateObject("Scripting.FileSystemObject")
File2Crypt = "CryptedFile.vbs"
Set output = fso.CreateTextFile(File2Crypt, True)
Set oFich = fso.OpenTextFile(GetFile,1)
		Tx = oFich.ReadAll
                crypt(Tx)
		output.write "avira="""
		output.write crypt(Tx) & """" & VbNewline 
		output.writeline "For i = 1 To Len(avira) : PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 100) : Next : Execute(PRGT)"
	 else
Wscript.Quit
end If
 
Function crypt(Txt)
For i = 1 To Len(Txt)
Crypt = Crypt & Chr(Asc(Mid(Txt, i, 1)) + 100)
Next
end Function
 
Function BrowseForFile()
 Dim shell : Set shell = CreateObject("WScript.Shell")
 Dim fso : Set fso = CreateObject("Scripting.FileSystemObject")
 Dim tempFolder : Set tempFolder = fso.GetSpecialFolder(2)
 Dim tempName : tempName = fso.GetTempName()
 Dim tempFile : Set tempFile = tempFolder.CreateTextFile(tempName & ".hta")
 tempFile.Write _
 "<html>" & _
 "    <head>" & _
 "        <title>Browse</title>" & _
 "    </head>" & _
 "    <body>" & _
 "        <input type='file' id='f'>" & _
 "        <script type='text/javascript'>" & _
 "            var f = document.getElementById('f');" & _
 "            f.click();" & _
 "            var shell = new ActiveXObject('WScript.Shell');" & _
 "            shell.RegWrite('HKEY_CURRENT_USER\\Volatile Environment\\MsgResp', f.value);" & _
 "            window.close();" & _
 "        </script>" & _
 "    </body>" & _
 "</html>"
 tempFile.Close
shell.Run tempFolder & "\" & tempName & ".hta", 1, True
BrowseForFile = shell.RegRead("HKEY_CURRENT_USER\Volatile Environment\MsgResp")
shell.RegDelete "HKEY_CURRENT_USER\Volatile Environment\MsgResp"
End Function

[l_autodidacte]

Sous XP HOME, ligne 22 : Crypt = Crypt & Chr(Asc(Mid(Txt, i, 1)) + 100) donne

Argument ou appel de procédure incorrect 'Chr'

car il y a dépassement de la limite de 255 pour le code ascii. Essaie de modifier la valeur 100 ou en tenir compte pendant le calcul de l'argument de Chr.

[hackoofr]

Sous XP HOME, ligne 22 : Crypt = Crypt & Chr(Asc(Mid(Txt, i, 1)) + 100) donne car il y a dépassement de la limite de 255 pour le code ascii. Essaie de modifier la valeur 100 ou en tenir compte pendant le calcul de l'argument de Chr.

l_autodidacte
pour le test et je vais voir ce problème et si je ne trouve pas la solution je vais la poster dans une nouvelle discussion