Que fait ce code

Signaler
Messages postés
216
Date d'inscription
samedi 11 août 2007
Statut
Membre
Dernière intervention
30 mai 2011
-
Messages postés
216
Date d'inscription
samedi 11 août 2007
Statut
Membre
Dernière intervention
30 mai 2011
-
bonjour à tous,
j'ais trouvé un fichier bizarre sur mon pc.
comme je ne connait pas le jvs je vous demande se que peu bien faire ce script si il est malveillant ou pas.

<SCRIPT language="vbscript">
Dim fso
set fso = CreateObject("Scripting.FileSystemObject")

If Navigator.cpuClass = "x86" AND fso.FileExists(fso.GetSpecialFolder(0)+"\BtwIEProxy.Exe") Then
    ' running 32-bit IE under 64-bit O/S, use proxey
    dim commandLine, WshShell
    Dim tfolder, tname, tfile
    Const TemporaryFolder = 2
    Const CMD_SEND_IMAGE        = 1
    Const CMD_SEND_PAGE            = 2
    Const CMD_CAN_SEND_PICTURES    = 3
    Const CMD_SET_WAIT_CURSOR    = 4

    Set tfolder = fso.GetSpecialFolder(TemporaryFolder)
    tname = fso.GetTempName
    Set tfile = tfolder.CreateTextFile(tname, true, true)

    Set doc = external.menuArguments.document
   
    tfile.WriteLine doc.title
    tfile.WriteLine doc.URL

    commandLine = "%windir%\BtwIEProxy.exe 3"
    Set WshShell = CreateObject("WScript.Shell")
    bSendPictures = WshShell.Run (commandLine,8,true)
    ' setwaitcursor

    If bSendPictures Then
        'Find the BASE tag
        baseURL = ""
        For i = 0 To 100000 'a very big integer must be used
            Set obj = doc.all(i)
            If (obj Is Nothing) Then
                Exit For
            End If
            tagName = UCase(obj.tagName)
            If (tagName = "BASE") Then
                baseURL = obj.getAttribute("HREF", 2)
                Exit For
            End If
        Next
       
        tFile.WriteLine baseURL
       
        For i = 0 To 100000 'a very big integer must be used
            Set obj = doc.all(i)
            If (obj Is Nothing) Then
                Exit For
            End If
            tagName = UCase(obj.tagName)
            If ((tagName = "IMG") or _
                (tagName = "APPLET") or _
                (tagName = "EMBED") or _
                (tagName = "FRAME") or _
                (tagName = "IFRAME") or _
                (tagName = "SCRIPT")) Then

                srcOld = obj.getAttribute("SRC", 2)
                tFile.WriteLine "1="+srcOld

            ElseIf (tagName = "INPUT") Then
                typeU = UCase(obj.type)
                If (typeU = "IMAGE") Then
                    srcOld = obj.getAttribute("SRC", 2)
                    tFile.WriteLine "1="+srcOld
                End If

            ElseIf ((tagName = "A") or _
                    (tagName = "LINK") or _
                    (tagName = "AREA")) Then
                rel = obj.getAttribute("REL", 2)
                If rel <> "" Then
                    relU = UCase(rel)
                    If (relU = "STYLESHEET") Then
                        hrefOld = obj.getAttribute("HREF", 2)
                        tFile.WriteLine "1="+hrefOld
                       
                    ElseIf (baseURL <> "") Then
                        href = obj.getAttribute("HREF", 2)
                        tFile.WriteLine "2="+href
                    End If
                End If

            ElseIf ((tagName = "BODY") or _
                    (tagName = "TABLE") or _
                    (tagName = "TD") or _
                    (tagName = "TH")) Then
                backgroundOld = obj.getAttribute("BACKGROUND", 2)
                If backgroundOld <> "" Then
                    tFile.WriteLine "1="+backgroundOld                    
                End If
            End If
        Next
    End If

    tfile.Close
   
    commandLine = "%windir%\BtwIEProxy.exe 2 " + chr(34) + tfolder + "" + tname+ chr(34)
    Set WshShell = CreateObject("WScript.Shell")
    call WshShell.Run (commandLine,8,true)
    fso.DeleteFile tfolder + "" +tname
    set WshShell=nothing
Else
    ' either running 64-bit O/S and 64-bit IE or running 32-bit O/S and 32-bit IE, so use COM obj
    Set doc = external.menuArguments.document
    Set btIEIntegration    = CreateObject("BtSendto_IE.BTIEIntegration")

    btIEIntegration.SaveDocumentTitle(doc.title)
    btIEIntegration.LoadDocumentSource(doc.URL)

    bSendPictures = btIEIntegration.CanSendPictures

    btIEIntegration.SetWaitCursor(True)
    sStatusString = btIEIntegration.LoadStatusString
    external.menuArguments.status = sStatusString

    If bSendPictures Then
        'Find the BASE tag
        baseURL = ""
        For i = 0 To 100000 'a very big integer must be used
            Set obj = doc.all(i)
            If (obj Is Nothing) Then
                Exit For
            End If
            tagName = UCase(obj.tagName)
            If (tagName = "BASE") Then
                baseURL = obj.getAttribute("HREF", 2)
                Exit For
            End If
        Next
        btIEIntegration.SaveDocumentBase(baseURL)
       
        For i = 0 To 100000 'a very big integer must be used
            Set obj = doc.all(i)
            If (obj Is Nothing) Then
                Exit For
            End If
            tagName = UCase(obj.tagName)
            If ((tagName = "IMG") or _
                (tagName = "APPLET") or _
                (tagName = "EMBED") or _
                (tagName = "FRAME") or _
                (tagName = "IFRAME") or _
                (tagName = "SCRIPT")) Then

                srcOld = obj.getAttribute("SRC", 2)
                srcNew = btIEIntegration.MapUrlToLocalFile(srcOld)
                btIEIntegration.ReplaceSrcAttribute srcOld, srcNew

            ElseIf (tagName = "INPUT") Then
                typeU = UCase(obj.type)
                If (typeU = "IMAGE") Then
                    srcOld = obj.getAttribute("SRC", 2)
                    srcNew = btIEIntegration.MapUrlToLocalFile(srcOld)
                    btIEIntegration.ReplaceSrcAttribute srcOld, srcNew
                End If

            ElseIf ((tagName = "A") or _
                    (tagName = "LINK") or _
                    (tagName = "AREA")) Then
                rel = obj.getAttribute("REL", 2)
                If rel <> "" Then
                    relU = UCase(rel)
                    If (relU = "STYLESHEET") Then
                        hrefOld = obj.getAttribute("HREF", 2)
                        hrefNew = btIEIntegration.MapUrlToLocalFile(hrefOld)
                        btIEIntegration.ReplaceSrcAttribute hrefOld, hrefNew
                    ElseIf (baseURL <> "") Then
                        href = obj.getAttribute("HREF", 2)
                        btIEIntegration.MakeAbsoluteUrl(href)
                    End If
                End If

            ElseIf ((tagName = "BODY") or _
                    (tagName = "TABLE") or _
                    (tagName = "TD") or _
                    (tagName = "TH")) Then
                backgroundOld = obj.getAttribute("BACKGROUND", 2)
                If backgroundOld <> "" Then
                    backgroundNew = btIEIntegration.MapUrlToLocalFile(backgroundOld)
                    btIEIntegration.ReplaceSrcAttribute backgroundOld, backgroundNew
                End If
            End If
        Next
    End If

    btIEIntegration.SendPage

    btIEIntegration.Cleanup
    sStatusString = btIEIntegration.LoadDoneString
    external.menuArguments.status = sStatusString
End If
</SCRIPT>
je vous remerci d'avence. 

14 réponses

Messages postés
14
Date d'inscription
lundi 22 octobre 2007
Statut
Membre
Dernière intervention
7 décembre 2009

bonjour, ce n'ets pas du php, ceci n'a rien a faire ici.
@azumi13 : On est dans la section CodeS-SourceS / Le Bar / Discussions libres, section sans language particulié...

A++
Messages postés
14
Date d'inscription
lundi 22 octobre 2007
Statut
Membre
Dernière intervention
7 décembre 2009

oublié de préciser, c'est du visual basic, dirige toi vers la http://www.vbfrance.com/
Messages postés
14
Date d'inscription
lundi 22 octobre 2007
Statut
Membre
Dernière intervention
7 décembre 2009

oups desolé

mes plus plates escuses
Messages postés
764
Date d'inscription
jeudi 27 juillet 2006
Statut
Membre
Dernière intervention
6 septembre 2010
18
Salut,

c'est plutôt du VBScript..

_____________________
Vos avis et critiques sur le livre "Objets réactifs en java" de Frédéric Boussinot : contactez moi par MP..
http://books.go%3C/body
Messages postés
216
Date d'inscription
samedi 11 août 2007
Statut
Membre
Dernière intervention
30 mai 2011

dsl j'ai vue que après, mais svp dit moi, sa ne fait rien de mal hien ?
Messages postés
13616
Date d'inscription
jeudi 13 février 2003
Statut
Membre
Dernière intervention
15 octobre 2013
33
bonjour,
>>mais svp dit moi, sa ne fait rien de mal hien ?
  si tu as le moindre doute... vire et n'exécute pas !
  ce doit être le seul reflêxe.
déjà ça te lance l'exécutable : %windir%\BtwIEProxy.exe...
ne connaissant pas, je ne saurais te dire ce que ça fait.
Cordialement     Bul   [mon Site]  [M'écrire], <!--
Messages postés
216
Date d'inscription
samedi 11 août 2007
Statut
Membre
Dernière intervention
30 mai 2011

tu as raison je les viré merci bien
Messages postés
13280
Date d'inscription
lundi 13 décembre 2004
Statut
Modérateur
Dernière intervention
3 février 2018
39
salut,

l'exe semble faire parti des pilotes BLUETOOTH
le code semble parser du HTML
++
<hr size="2" width="100%" />Prenez un instant pour répondre à [infomsg_SONDAGE-POP3-POUR-CS_769706.aspx ce sondage] svp  
Messages postés
13616
Date d'inscription
jeudi 13 février 2003
Statut
Membre
Dernière intervention
15 octobre 2013
33
quand je dis viré, c'est : si récupération bizarre de je ne sais où !
si comme le suppute PCPT ça fait partie des pilotes BLUETOOTH ou autres,
   que c'est partie intégrante dy système... pas touche.
   ça dépend où c'est (répertoire.. ) , d'où ça vient...
   mais si on vire maladroitement, le système de restauration fera ce qui'l faut.
Cordialement          Bul     [mon Site]   [M'écrire], <!--
Messages postés
13280
Date d'inscription
lundi 13 décembre 2004
Statut
Modérateur
Dernière intervention
3 février 2018
39
à noter que même si "on s'y connait", si on commence à supprimer tout ce qui se trouve dans "WINDOWS" (ou tout autre répertoire système) juste parce qu'on ne connait pas..., même la restauration va se poser des questions
Messages postés
216
Date d'inscription
samedi 11 août 2007
Statut
Membre
Dernière intervention
30 mai 2011

enfaite c bien dans le dossier du bluetooth, je l'ais trouver avec HijackThis dans le système d'amorçage.
comme il portai l'extension htm je me suis demander si il était pas dangereux mais appartement du fait que tu me dis qu'il active le bluetooth je vais le laisser, je ne l'avait pas supprimer mais renommé pour ne pas perdre des truc si jamais et heureusement à parament. brèf je vous remerci tous pour votre aide c'est sympas d'avoir pris impeut de temps pour moi merci  
Messages postés
13616
Date d'inscription
jeudi 13 février 2003
Statut
Membre
Dernière intervention
15 octobre 2013
33
PCPT++
j'aurais du être plus explicite ( ça me semblait évident, mais mon foie, finalement pas tant que cela ! )
virer ne s'applique qu'à des "téléchargements suspects"
Cordialement          Bul     [mon Site]  [M'écrire], <!--
Messages postés
216
Date d'inscription
samedi 11 août 2007
Statut
Membre
Dernière intervention
30 mai 2011

je voulais savoir une restauration va-t-elle enlever les virus ?
car mon pross fait des bonds énorme même au repos.