JScript Wurm entschlüsseln

#0
19.06.2013, 17:13
...neu hier

Beiträge: 3
#1 Hallo,
Ich sitze in Brasilien und habe auf vielen Rechnern den JS Wurm entdeckt. Er startet einen wscript Prozess und erstellt auf USB Sticks autorun.inf`s und versteckte Ordner mit Kopien von sich selbst.

Bitte um Hilfe beim Entschlüsseln der Javascript (JScript) Datei.
Durch "Suchen und Ersetzen" habe ich die unleserlichen Funktionsnamen (vorher bqlme usw.) durch Funktion1 bis Funktion7 ersetzt.

Leider verstehe ich aber nicht was der nun da macht.
Ich finde es einerseits spannend, andererseits wichtig zu wissen was dort passiert ist und welche Daten geklaut worden sein konnten.

Bitte um Hilfe.
Danke.

Seitenanfang Seitenende
19.06.2013, 17:51
Moderator

Beiträge: 7792
#2 Du kannst es mit dem Orginal hier versuchen:
http://jsunpack.jeek.org/
oder
http://wepawet.iseclab.org/index.php
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.06.2013, 13:44
...neu hier

Themenstarter

Beiträge: 3
#3 Leider wird von der ersten Seite nichts entschlüsselt http://jsunpack.jeek.org/?report=147910deda6000e14ff753050aa9f63f4419e313 und auf der zweiten Seite http://wepawet.iseclab.org/view.php?hash=e511f54d6abc21a5c3399af870dab72e&type=js ebenfalls nichts gefunden.

Jemand noch eine Idee?
Kann jemand den Quelltext lesen und verstehen? Sind das alles Funktionen die zum Entschlüsseln da sind oder sind dort auch Funktionen drin die den Virenscanner nur ablenken soll?

Vielen Dank erstmal für die Antwort, raman !
Seitenanfang Seitenende
24.06.2013, 14:01
Moderator

Beiträge: 7792
#4 Pruefe die Datei orginaldatei bitte einmal hier:
https://www.virustotal.com/de/

Dann kann ich vielleicht was machen...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.06.2013, 14:03
Moderator

Beiträge: 7792
Seitenanfang Seitenende
24.06.2013, 14:56
...neu hier

Themenstarter

Beiträge: 3
#6 Sie wurde erkannt. Aber erst von wenigen Virenherstellern. Unser Antiviren-Partner Avira lässt sich leider sehr einfach durch ändern der internen Variablennamen austricksen.

Aber was dort im Quelltext wirklich steht muss man doch irgendwie Reverse Engeneering können oder?
Danke für die Hilfe!!!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: