2011/07/22

Reversing the 'yunyun.vbs' virus

Hello I have been bored tired and coding :) as usual. I got a pen drive some time last
year and I realized there was too many 'Thumb.db' files so I vi Thumb.db
and guess what I saw
'www.muslimah.or.id;==================================== my name:Yuyun 1.0

' ============================
On Error Resume Next
Dim fso, ws
Set fso = CreateObject("scripting.filesystemobject")
Set ws = CreateObject("wscript.Shell")
Set sh = CreateObject("Shell.application")
Q=WScript.ScriptFullName
tmp=fso.GetSpecialFolder(2)
tn=fso.GetTempName
tmpt=tmp+"\"+tn
Set swt=WScript.Arguments
If swt.Count>0 Then...

Yes that is the yunyun alright coded in Microsoft VBS then I got interested
in the encrypted part of the code, I want to see whats in there.
Te Encryption and decryption routine is using XOR which means its the same
algorithm in and out. Here is the en/decryption routine

hsl=""
For v=1 To Len(isiQ)
t=Asc(Mid(isiQ,v,1))
hsl=hsl+Chr(t Xor 7)
Next

As you can see this is very simple so I wrote a little perl script to decrypt

#!/usr/bin/perl

use strict;
use warnings;

my $vir;
my @vx;
my $line;
my $i;

open (VIR, "+<yunyun.vbs") ||die( "noopeno :(");
while (<VIR>) {
  $line++;
  if (($line eq 47) || ($line > 47)) {
    $vir .= $_;
  }
}
close (VIR);

@vx = split(/ */, $vir);

foreach $i (@vx) {
  print chr(ord($i) ^ 7);
}

I have made it simpler so anyone can learn from it.
Any ways so with that the mystery was unveiled and then mystery 2
There's a part the needs formatting and this virus/worm is really cool at handling
newlines. Anyway you need to format it then translate it here's the code to format

$adv = 'Yuyun Ver 1.0 ^_^!==================>>Bukan dari tulang ubun ia dicipta>karna berbahaya membiarkannya dalam sanjung dan puja>tak juga dari tulang kaki>karna nista membuatnya diinjak dan diperbudak>tapi dari tulang rusuk bagian kiri>dekat ke hati untuk disayangi>dekat ke tangan untuk dilindungi>>(dikutip dr: Agar Bidadari Cemburu Padamu)>>>""Janganlah kamu bersikap lemah, dan janganlah (pula) kamu bersedih hati, padahal kamulah>orang-orang yang paling tinggi (derajatnya), jika kamu orang-orang yang beriman."">(QS. Ali Imran:139)>>>Katakanlah kepada orang laki-laki yang beriman: ""Hendaklah mereka menahan pandanganya, >dan memelihara kemaluannya; yang demikian itu adalah lebih suci bagi mereka, >sesungguhnya Allah Maha Mengetahui apa yang mereka perbuat."" (QS. An Nur:30)>>Katakanlah kepada wanita yang beriman: ""Hendaklah mereka menahan pandangannya, >dan kemaluannya, dan janganlah mereka menampakkan perhiasannya, kecuali yang >(biasa) nampak dari padanya. Dan hendaklah mereka menutupkan kain kudung >kedadanya...."" (QS. An Nur:30)>>Sorry I just Nitip Print thok....Ndak pa2 khan^_^!  www.muslimah.or.id >>Hai anak Adam, sesungguhnya Kami telah menurunkan kepadamu >pakaian untuk menutup auratmu dan pakaian indah untuk perhiasan.>Dan pakaian takwa itulah yang paling baik. Yang demikian itu adalah >sebahagian dari tanda-tanda kekuasaan Allah, mudah-mudahan mereka selalu ingat.(Al-Araf:26)';


$adv =~ s/\>/\n/go;

print $adv;


Ok so uhm that's that, I have more virii/worms but take this for starters
Oh and if anyone has the 'stuxnet' vorm please let me have a binary copy
in tar.gz format.

Next time.

No comments:

Post a Comment