Comment déterminer la fonction de Codage ou bien de Cryptage ?

Version imprimable

:salut: à Tous !
Je me suis interessé sur les nouveaux virus qui circulent partout ces jours-ci et j'ai remarqué qu'il a parmis ces derniers qui sont cryptés ou bien disons codés pour qu'ils puissent contourner les antivirus.
Donc dans le but de faire un outil de nettoyage pour mettre tout en ordre et effacer leurs traces , je dois alors lire son contenu càd son code source original pour voir quelles sont les clés de la base des registre qui ont été modifié ou bien été ajouté ou bien été supprimé avant d'être crypté ou bien codé.
Hier j'ai réussi à décoder un virus qui circule sur les clés USB ,c'est parce que j'ai vu à la fin de la source une fonction qui décode son contenu en l'exécutant donc j'ai pris cette derniére et je l'ai modifié pour arriver enfin à décoder le contenu de ce virus.
Voila cette Fonction:
Code:

1 2 avira ="code crypté du virus"'Bien sûr il n'est pas lisible For i = 1 To Len(avira) : PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 1) : Next : Execute(PRGT)
et voila le code que je l'ai testé pour décoder ce dernier, bon je vais pas mettre le code viral en entier ici :mouarf: mais juste pour qu'il me déchiffre les trois premiers lignes
Code:

1 2 3 4 5 6 7 8 avira ="(cz!;!NzMpwfGbdfCppl/MjvZjGfjAIpunbjm/DpNpo!fssps!sftvnf!ofyuejn!nztpvsdf-xjoqbui-gmbtiesjwf-gt-ng-bus-ug-sh-ou-difdl-te" For i = 1 To Len(avira) PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 1) Next set fso = CreateObject("Scripting.FileSystemObject") NomFichierLog = "Fichierdecode.txt" Set OutPut = fso.OpenTextFile(NomFichierLog,2,True) OutPut.Writeline PRGT
et qu'il va afficher ceci:
Code:

1 2 3 'by : MyLoveFaceBook.LiuYiFei@Hotmail.CoM on error resume next dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd
Donc ma question est : connaissant la fonction de décodage ou bien de décryptage comment je peux faire l'inverse càd déterminer la fonction de codage ou bien de Cryptage ?

Citation:

Remarque: juste à titre d'information on a chpoé ce même type de virus il y a presque un an dans notre établissement et voila il nous rend-viste ces jours-ci :mouarf:

:merci: de votre éventuelle aide :ccool:

14/09/2011, 17h25
omen999

salut,
la fonction de décodage est tout simplement un décalage d'un rang en arrière dans le tableau ascii
donc la fonction de codage est un décalage d'un rang ... en avant :aie: comme ceci

Code:

PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) + 1)

désactiver l'autorun des clés usb c'est pas une mauvaise idée...:mrgreen:
14/09/2011, 17h46
hackoofr

:merci: omen999 et le problème maintenant est :resolu: :ccool:
:lahola:

Application !

:salut: à vous Tous ! et spécialement un grand :merci: à omen999 car tu m'a fais gagner un temps précieux pour comprendre cette fonction :ccool:
Donc à titre d'essai et d'application j'ai fait ce vbscript que je voudrais bien que quelqu'un parmi vous me le teste sur son environnement et il me dit s'il y a des bugs ou non sur son système :zoubi:
Pour moi je l'ai testé sous Windows XP SP 3 et il marche très bien !

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
Title = "EncodeVBSFile © Hackoo © 2011"
Question = MsgBox ("Did you want to Choose a file to be encoded ? " &vbcr &_
"CLICK YES TO ENCODE A FILE !"&vbcr &_
"OR CLICK NO TO QUIT THIS PROGRAM !",VBYesNO+VbQuestion,Title)
 If Question = VbYes then
 GetFile = BrowseForFile
set fso = CreateObject("Scripting.FileSystemObject")
File2Crypt = "CryptedFile.vbs"
Set output = fso.CreateTextFile(File2Crypt, True)
Set oFich = fso.OpenTextFile(GetFile,1)
		Tx = oFich.ReadAll
                crypt(Tx)
		output.write "avira="""
		output.write crypt(Tx) & """" & VbNewline 
		output.writeline "For i = 1 To Len(avira) : PRGT = PRGT & Chr(Asc(Mid(avira, i, 1)) - 100) : Next : Execute(PRGT)"
	 else
Wscript.Quit
end If
 
Function crypt(Txt)
For i = 1 To Len(Txt)
Crypt = Crypt & Chr(Asc(Mid(Txt, i, 1)) + 100)
Next
end Function
 
Function BrowseForFile()
 Dim shell : Set shell = CreateObject("WScript.Shell")
 Dim fso : Set fso = CreateObject("Scripting.FileSystemObject")
 Dim tempFolder : Set tempFolder = fso.GetSpecialFolder(2)
 Dim tempName : tempName = fso.GetTempName()
 Dim tempFile : Set tempFile = tempFolder.CreateTextFile(tempName & ".hta")
 tempFile.Write _
 "<html>" & _
 "    <head>" & _
 "        <title>Browse</title>" & _
 "    </head>" & _
 "    <body>" & _
 "        <input type='file' id='f'>" & _
 "        <script type='text/javascript'>" & _
 "            var f = document.getElementById('f');" & _
 "            f.click();" & _
 "            var shell = new ActiveXObject('WScript.Shell');" & _
 "            shell.RegWrite('HKEY_CURRENT_USER\\Volatile Environment\\MsgResp', f.value);" & _
 "            window.close();" & _
 "        </script>" & _
 "    </body>" & _
 "</html>"
 tempFile.Close
shell.Run tempFolder & "\" & tempName & ".hta", 1, True
BrowseForFile = shell.RegRead("HKEY_CURRENT_USER\Volatile Environment\MsgResp")
shell.RegDelete "HKEY_CURRENT_USER\Volatile Environment\MsgResp"
End Function

15/09/2011, 21h22
l_autodidacte

Sous XP HOME, ligne 22 : Crypt = Crypt & Chr(Asc(Mid(Txt, i, 1)) + 100) donne

Citation:

Argument ou appel de procédure incorrect 'Chr'

car il y a dépassement de la limite de 255 pour le code ascii. Essaie de modifier la valeur 100 ou en tenir compte pendant le calcul de l'argument de Chr.
15/09/2011, 22h03
hackoofr

Citation:

Envoyé par l_autodidacte

Sous XP HOME, ligne 22 : Crypt = Crypt & Chr(Asc(Mid(Txt, i, 1)) + 100) donne car il y a dépassement de la limite de 255 pour le code ascii. Essaie de modifier la valeur 100 ou en tenir compte pendant le calcul de l'argument de Chr.

:salut: l_autodidacte
:merci: pour le test et je vais voir ce problème et si je ne trouve pas la solution je vais la poster dans une nouvelle discussion :ccool: