JScript Wurm entschlüsseln

#1 Hallo,
Ich sitze in Brasilien und habe auf vielen Rechnern den JS Wurm entdeckt. Er startet einen wscript Prozess und erstellt auf USB Sticks autorun.inf`s und versteckte Ordner mit Kopien von sich selbst.

Bitte um Hilfe beim Entschlüsseln der Javascript (JScript) Datei.
Durch "Suchen und Ersetzen" habe ich die unleserlichen Funktionsnamen (vorher bqlme usw.) durch Funktion1 bis Funktion7 ersetzt.

Leider verstehe ich aber nicht was der nun da macht.
Ich finde es einerseits spannend, andererseits wichtig zu wissen was dort passiert ist und welche Daten geklaut worden sein konnten.

Bitte um Hilfe.
Danke.

#2 Du kannst es mit dem Orginal hier versuchen:
http://jsunpack.jeek.org/
oder
http://wepawet.iseclab.org/index.php
__________
MfG Ralf
SEO-Spam Hunter

#3 Leider wird von der ersten Seite nichts entschlüsselt http://jsunpack.jeek.org/?report=147910deda6000e14ff753050aa9f63f4419e313 und auf der zweiten Seite http://wepawet.iseclab.org/view.php?hash=e511f54d6abc21a5c3399af870dab72e&type=js ebenfalls nichts gefunden.

Jemand noch eine Idee?
Kann jemand den Quelltext lesen und verstehen? Sind das alles Funktionen die zum Entschlüsseln da sind oder sind dort auch Funktionen drin die den Virenscanner nur ablenken soll?

Vielen Dank erstmal für die Antwort, raman !

#4 Pruefe die Datei orginaldatei bitte einmal hier:
https://www.virustotal.com/de/

Dann kann ich vielleicht was machen...
__________
MfG Ralf
SEO-Spam Hunter

#5 Schon gefunden
https://www.virustotal.com/de/file/6b2df5076f71fd4839f3da5dea72605f8f0e916bdfb8d1088fe0cae43fc3c548/analysis/
__________
MfG Ralf
SEO-Spam Hunter

#6 Sie wurde erkannt. Aber erst von wenigen Virenherstellern. Unser Antiviren-Partner Avira lässt sich leider sehr einfach durch ändern der internen Variablennamen austricksen.

Aber was dort im Quelltext wirklich steht muss man doch irgendwie Reverse Engeneering können oder?
Danke für die Hilfe!!!