– root@injetionsec:~#

Malware replicador de atalhos

28.08.2014 (3:07 pm) – Filed under: Malware ::

Sem título

Recentemente meu pendrive foi premiado por um malware com nome BUAGOF~1.VBS nos PCs desktop da faculdade usando qual sistema??..kkkk.. o famoso windows , esses computadores são usados para imprimir arquivos,pelo jeito esse malware e do tipo que replica atalhos  nos arquivos é depois oculta os arquivo.

Scan dele no virusscan.jotti.org e no virustotal.com mas como vamos resolver e recuperar nossos arquivos no pendrive ou qualquer mídia removível que esteja infectada,esses comandos são feito no windows.

Menu Iniciar > Executar > CMD e digite os comandos abaixo

Digite a letra do seu pendrive no meu caso e F:

del autorun.inf

del /s /f /p *.lnk (s exclui o arquivo selecionado em todas as subpastas,  f  força a exclusão de arquivos somente leitura, o p solicita confirmação, o *.lnk são os atalhos que o malware fez)

attrib -r -s -h /s /d *.* (attrib é o comando para mudar atributos de pastas e arquivos, -r arquivo somente leitura, -s atributo de arquivo do sistema, -h atributo de arquivo oculto, /s processa os arquivos da pasta atual e das subpastas. /d inclui subpastas,o *.* quer dizer tudo.

Como podemos ver nesse link o código do malware em .vbs

Eles não esta totalmente encriptado,podemos ver algumas funções usadas em VBS:

* dim : declarar variavel

split :  e uma matriz

UBound : determina o tamanho da matriz

* for : usado para loop

executeGlobal : muita das programações incluem códigos externos sem ter que precisar redigitar, o vbs não tem esse metodo explicito a declaração para do pode ser usado para essas tarefa

* function : define o procedimento de uma função mais informação aqui e aqui

* ReDim : é usada quando temos uma matriz dinâmica. ou seja, para definir o tamanho de uma matriz dinâmica aqui e  aqui

CInt : converte uma expressão para tipo inteiro

Len : retorna o número de caracteres em uma string

Asc : converte o primeiro caractere em uma string de código ANSI, e retorna o resultado

* Mid :retorna um número especificado de uma cadeia de caracteres

Rnd : retorna um número aleatório. O número é sempre menor do que 1, mas maior ou igual a 0

Randomize : Inicializa o gerador de números aleatórios

Then : instrução condição que executa grupos com algumas condições declaradas