Çözüldü VBS dosyası virüslü mü?

pedroz_1999 · 4 Nisan 2025

Oyun oynarken klavye dilinin yanlışlıkla İngilizce olarak değişmesinden şikayetçiydim. Bunun çözümü için yüzeysel bir araştırma yapıp, aşağıdaki videoya denk geldim:

Videonun açıklamasında bulunan bağlantıdan dosyayı indirdim ve saatin geç olmasının da getirdiği dalgınlık ile hiçbir taramadan geçirmeden içindeki VBS scriptini çalıştırdım. Bir işe yaramayınca şüphelenip, VBS scriptinin içini açtım. İçinde bilmediğim bir dilde yazılmış, şu şekilde bir yazı mevcuttu:

Kod:

䀣幾睱䅁䅁㴽戹縺㽋⬴幖⍀♀⭪偄㽇⬴獳✬煐浪歍䑷⼠罄䑬㘫┴ㅮ繙牠㼉䐱㉲剄㐿幮䕖䀣䀣䬦㐿噿剞⅄ⱸ浅乳穾倱䝞変䭄偳硢幙帠幷䉾♐氰牅⽝畦䥷㩿ⵇ筿唫恒‿猶牳䕊縬ℬ䉐㩐䔮䁿䀣㼦奿䝾瑕師偳偻䬱㑏५浯兪䅁㵁帽縣@

Dosyayı VirusTotal'e atmıştım ve Kaspersky ile bir program daha virüs uyarısı vermişti. Bu sebeple Kaspersky indirip tam tarama yapacaktım ama beklediğimden uzun sürünce gündüz yapmaya kadar verdim. Bilgisayar kapalı olduğu için VirusTotal sonucunu şu anda paylaşamıyorum ama paylaşmaya çalışacağım.

Sizce bu VBS scripti zararlı mı, yoksa boş yere mi panik yapıyorum?
@Dutchman

Hybrid Analysis üzerinden dosyayı tarattım, sonuca aşağıdaki bağlantıdan ulaşabilirsiniz:

Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'Remove_en-US.vbe'

Submit malware for free analysis with Falcon Sandbox and Hybrid Analysis technology. Hybrid Analysis develops and licenses analysis tools to fight malware.

www.hybrid-analysis.com

Az önce VirusTotal taramasının sonucunu da elde ettim, aşağıdaki bağlantıdan ulaşabilirsiniz:

VirusTotal

www.virustotal.com

Floppy · 18 Nisan 2025

Sonradan indirdiği için virüs olarak görmez zaten bu kadar basit bir hata çözümü için obf basması çok ilginç eğer indirdip açtıysanız Görev Yöneticisi'nden başlangıçta çalışan sıkıntılı bir program var mı diye bakabilir misin?

pedroz_1999 · 18 Nisan 2025

Floppy dedi:
Sonradan indirdiği için virüs olarak görmez zaten bu kadar basit bir hata çözümü için OBF basması çok ilginç, eğer indirip açtıysanız Görev Yöneticisi'nden başlangıçta çalışan sıkıntılı bir program var mı diye bakabilir misin?

Başlangıçta normalin dışında bir program yoktu. Sonradan internet bağlantısı olmadan sistemde oldukça yüzeysel olsa da bir teftiş gerçekleştirdim. Kendimi garantiye almak adına o geceden sonra diğer bilgisayarımdan ISO dosyasını USB belleğe yazdırıp, bilgisayara direkt format çakmıştım.

Açıkçası dosya temiz miydi yoksa zararlı mıydı hala emin değilim. İçinde yazan yabancı dildeki yazıyı çeviri sitelerinden çevirdiğimde çok garip anlamlar çıkıyordu. Gırgır amaçlı yapılmış olabileceğinden de şüphelendim bu yüzden.

Floppy · 18 Nisan 2025

pedroz_1999 dedi:
Başlangıçta normalin dışında bir program yoktu. Sonradan internet bağlantısı olmadan sistemde oldukça yüzeysel olsa da bir teftiş gerçekleştirdim. Kendimi garantiye almak adına o geceden sonra diğer bilgisayarımdan ISO dosyasını USB belleğe yazdırıp, bilgisayara direkt format çakmıştım.

Açıkçası dosya temiz miydi yoksa zararlı mıydı hala emin değilim. İçinde yazan yabancı dildeki yazıyı çeviri sitelerinden çevirdiğimde çok garip anlamlar çıkıyordu. Gırgır amaçlı yapılmış olabileceğinden de şüphelendim bu yüzden.

Bu koda obf basmış nasıl anlatsam sana kodu karmaşıklaştırıyor okunamaz hale getiriyor ne yaptığını ya dosyanın hareketlerin inceliceksin ya da kırmaya çalışacaksın.

pardon konuyu hortlatmışım yeni konu sanmıştım

pedroz_1999 · 19 Nisan 2025

Floppy dedi:
Bu koda OBF basmış, nasıl anlatsam sana kodu karmaşıklaştırıyor, okunamaz hale getiriyor, ne yaptığını ya dosyanın hareketlerin inceleyeceksin ya da kırmaya çalışacaksın.

Pardon konuyu hortlatmışım yeni konu sanmıştım.

Konuyu hortlatmadınız, zira ilk yanıt da size ait. Bu konuda bilginiz varsa çekinmeden bizlerle paylaşmanızı rica ederim.

Dosyaya farklı karakterler kullanan dillerde bir şeyler yazılınca sistem bunları okuyup, içeriğindeki kodu çalıştırabiliyor mu?

muasxclick · 19 Nisan 2025

Direkt konuya giriyorum, açtığın "VBE" (encrypted/şifrelenmiş VBS dosyası) dosyasını gidip buldum ve decrypt ettim. Decrypt edilmiş kod ise bu:

Kod:

Dim oShell
Set oShell = WScript.CreateObject ("WScript.Shell")
oShell.run "cmd /c control intl.cpl,, /f:""%CD%\Remove_en-US.xml""" , 0 , True
Set oShell = Nothing

Peki ne yapıyor bu diye soruyorsan, kendisinin bulunduğu yerdeki Remove_en-US.xml dosyasını çalıştırıyor. Peki o dosya ne yapıyor? O dosya ise en-US klavyesini ekliyor ve kaldırıyor. Yani bir şey yaptığı yok.

Belki senin problemini bile çözmeyebilir..

Kullanılan encrypt/decrypt aracı

pedroz_1999 · 19 Nisan 2025

muasxclick dedi:
Direkt konuya giriyorum, açtığın "VBE" (encrypted/şifrelenmiş VBS dosyası) dosyasını gidip buldum ve decrypt ettim. Decrypt edilmiş kod ise bu:

Kod:

Dim oShell Set oShell = WScript.CreateObject ("WScript.Shell") oShell.run "cmd /c control intl.cpl,, /f:""%CD%\Remove_en-US.xml""" , 0 , True Set oShell = Nothing

Peki ne yapıyor bu diye soruyorsan, kendisinin bulunduğu yerdeki Remove_en-US.xml dosyasını çalıştırıyor. Peki o dosya ne yapıyor? O dosya ise en-US klavyesini ekliyor ve kaldırıyor. Yani bir şey yaptığı yok.
Belki senin problemini bile çözmeyebilir..

Kullanılan encrypt/decrypt aracı

Asıl amacım da en-US klavyeyi kaldırmaktı, çünkü oyun oynarken sürekli yanlışlıkla İngilizce klavyeye geçiyordum. Ancak bir türlü tamamen silemediğim için bu dosyaya başvurmuştum.

İçeriğinin şifrelenmiş olması beni şüphelendirmişti. Siz bunları deyince rahatladım, aynı zamanda da boşuna format atıp o kadar oyunu tekrar indirdiğim için pişmanım

Yardımınız ve konuya katkınız için çok teşekkür ederim

Çözüldü VBS dosyası virüslü mü?

Ayrıntılı düzenleme

pedroz_1999

Gigapat

Free Automated Malware Analysis Service - powered by Falcon Sandbox - Viewing online file analysis results for 'Remove_en-US.vbe'

VirusTotal

muasxclick

Floppy

Hectopat

pedroz_1999

Gigapat

Floppy

Hectopat

pedroz_1999

Gigapat

muasxclick

Picopat

pedroz_1999

Gigapat

Benzer konular

Technopat Haberler

Yeni konular

Yeni mesajlar

Gizliliğinize önem veriyoruz