Ver Facebook en VBS

J’avais fait un billet il y a quelques temps sur les Virus Facebook qui se propageait via de fausses vidéo pour installer des extensions sur les navigateurs WEB.

Aujourd’hui, j’ai été contacté en message privé sur commentcamarche.net, dont voici une capture :


Le zip contient un fichier Bulletin147.vbe, comme vous pouvez le voir, le contenu est offusqué :

Le script suivant permet de deoffusquer le VBS : http://www.interclasse.com/scripts/decovbe.php
Le script ouvre des popups pour proposer des donations sur des sites contre la faim, puis copi le script vers un fichier Knucker.A.vbe dans le dossier Windows et Wsserv.vbe dans le dossier Démarrage.

Une clef Run est ensuite créée afin de lancer le fichier Knucker.A.vbe au démarrage de l’ordinateur.

Le fichier est ensuite copié à la racine de charge disque sous le nom Je_t’aime.vbe mais aucun fichier autorun.inf n’est créé.

Le script va ensuite parcourir la liste des processus, si un des processus du navigateur WEB est présent – ce dernier va se connecter à Facebook :


puis envoye des instructions clavier :

L’auteur parie sur le fait que vous avez une connexion automatique sur Facebook pour envoyer les instructions clavier afin de poster un message avec en lien bien entendu le script VBS.
C’est assez bourrain.


Dans mon cas, ça ne marche pas très bien.
Le focus sur le formulaire n’est pas récupé, les lettres sont bien tapés mais la validation du formulaire ne fonctionne pas.

Le contact de commentcamarche (que je remercie) m’a fait une capture, ça semble fonctionner chez lui :

La détection du script : https://www.virustotal.com/file/32fea2660e48b0d0194f964db305a91a50841e8ee0ab09cbe684d24844bea13c/analysis/

SHA256: 32fea2660e48b0d0194f964db305a91a50841e8ee0ab09cbe684d24844bea13c
 File name: Bulletin147.vbe
 Detection ratio: 6 / 43
 Analysis date: 2012-03-17 15:49:05 UTC ( 50 minutes ago )
Antiy-AVL Trojan/win32.agent 20120317
 AVG JS/Heur 20120317
 Comodo UnclassifiedMalware 20120317
 Emsisoft Virus.JS.Heur!IK 20120317
 Ikarus Virus.JS.Heur 20120317
 Kaspersky Trojan.Script.Suspic.gen 20120317

Ci-dessous, les lignes malicieuses visibles sur HijackThis.
Ces lignes sont à cocher puis cliquer sur Fix Checked.
Redémarrez l’ordinateur, le ver ne devrait plus être actif.

Print Friendly, PDF & Email
(Visité 191 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet