Перейти к содержанию
Авторизация  
A.T.Tappman

В js разбирается кто? Чего вот этот зловред делает?

Рекомендуемые сообщения

Собсна вот. В контору письмо свалилось. В письме самораспаковывающийся архив. В архиве js и ещё какой-то файл без расширения.

Сам js: [удалено]

Чего он могет делать или хотя бы как его в нормальный вид привесть?

Поделиться сообщением


Ссылка на сообщение

Код немного обфусцирован, привести в нормальный вид через де-обфускатор или консоль браузера ручками. Пишет через wscript бинарник зловреда, ставит на автозапуск и ждёт команд от c&c сервера 144.227.60.166. Рассчитано на старые IE, в новых браузерах сие поделие работать не должно.

Поделиться сообщением


Ссылка на сообщение

Кейлоггер какой-то. Расшифровал, но разбираться в его начинке нет ни времени, ни желания.

 

Поделиться сообщением


Ссылка на сообщение
7 минут назад, malaxit сказал:

144.227.60.166

Я уж думал спринт давно подох, ан нет - теплится еще.

Поделиться сообщением


Ссылка на сообщение

А это точно IP? Эти цифирки используются как ключ расшифровки основного кода.

Поделиться сообщением


Ссылка на сообщение

Тоже глубоко не вникал, сразу пробился на провайдера, я подумал что это c&c. вот тут прописывает:

var c7a56d0f1=WScript["CreateObject"](WScript.Shell+String.fromCharCode(WScript.Timeout+108));
_reg_param_=HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM\fjhsfgds;
c7a56d0f1.RegWrite(_reg_param_,"144_227_60_166");

ниже на точки подчёркивания заменяет.

Поделиться сообщением


Ссылка на сообщение

Не заменяет на точки, создает массив 

var params = checkparam['split'](_); (это я уже перевел в читаемый вид)

а потом этот массив передается в функцию расшифровки основного кода. 

 


 

 

И если поменять любую цифру, то расшифровка ломается.

https://onecompiler.com/javascript/3xtffnjxn

Поделиться сообщением


Ссылка на сообщение

Ваша правда, но в реестр зачем-то промежуточно пишет.

 

Поделиться сообщением


Ссылка на сообщение
var c229411aa={
	c1a5b4458:function(l017a5f91,e79881de2,ncbb4831a,h5529f535)
	{
		eval(l017a5f91);
		WScript.Quit(0);
	}
};

c229411aa[String.fromCharCode(116^23,242^195,234^139,221^232,13^111,76^120,160^148,3^54,28^36)](b57b740d7,56,11,70);

В переводе на наш выглядит как

var main={
	test:function(a,b,c,d) 
	{
		eval(a);
		WScript.Quit(0);
	}
};

main['test'](code,56,11,70);

Но получается, что цифирки из агрументов (56, 11, 70) не используются?

Поделиться сообщением


Ссылка на сообщение
29 минут назад, malaxit сказал:

HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM\fjhsfgds

угу, есть такое. И ещё кроме это там три параметра образовалось. Пока радует одно - брандмауэр эту хрень в интернеты вроде как не выпустил.

Поделиться сообщением


Ссылка на сообщение

Я не запускал :)

Поделиться сообщением


Ссылка на сообщение

Там в архиве ещё файл с именем 1560020152 был. Без расширения. 

Поделиться сообщением


Ссылка на сообщение

A.T.Tappman, давайте его сюда тоже. 

Поделиться сообщением


Ссылка на сообщение

не, не расшифровывается известным ключом :(

Поделиться сообщением


Ссылка на сообщение
Дата: (изменено)

На данный момент чего обнаружилось. Это нечто запускало PowerShell с каким-то оченно длинным параметром, создавало задачу в Task Sheduler и, как подсказали, гадило в реестр.

Изменено пользователем A.T.Tappman

Поделиться сообщением


Ссылка на сообщение

это мусор может быть, оператор ориентируется на детекты антивирусных агрегаторов, добавляет всякий мусор чтобы эвристика не жужжала. сейчас обычно трояны модульные, внутри у базового бинарника какой-нибудь кейлоггер-перехватчик паролей-кошельков, модуль общения с c&c и подгрузки других модулей. если заражённая машина интересная, с ней могут поработать вручную, а так пассивно собирает всякие credentials для упаковки-перепродажи, да и всё.

но этот на современный не похож, какое то древнее поделие скрипткиддис, не apt.

Поделиться сообщением


Ссылка на сообщение

У этого нечта куча функций..

Файлик не мусор, расшифровщик внутри первого кода. Внутри base64 c каким-то кодом.

 

Поделиться сообщением


Ссылка на сообщение
3 минуты назад, malaxit сказал:

какое то древнее поделие скрипткиддис

И домен у них в ру-центре зареган и хостятся у отечественного провайдера. Я вчерась на них кляузы полдня рассылал.

1 минуту назад, desti сказал:

расшифровщик внутри первого кода

А первый код в сеть, случаем, не ломится?

Поделиться сообщением


Ссылка на сообщение

Первый вовсю ломится, получает команды, обрабатывает, отвечает. 

Поделиться сообщением


Ссылка на сообщение
2 минуты назад, desti сказал:

получает команды, обрабатывает, отвечает

Надеюсь, всё же не вышел он в сеть.

Поделиться сообщением


Ссылка на сообщение

Второй код добавляет какой-то класс Microsoft .NET к PowerShell. Я в этом ни петь, ни танцевать.

Поделиться сообщением


Ссылка на сообщение
15 минут назад, A.T.Tappman сказал:

И домен у них в ру-центре зареган и хостятся у отечественного провайдера. Я вчерась на них кляузы полдня рассылал.

Они могут и не знать о том, что с их компов что-то рассылается :)

Поделиться сообщением


Ссылка на сообщение
2 минуты назад, desti сказал:

Они могут и не знать о том, что с их компов что-то рассылается

Письмо свалилось с mail@r77.fssprus.ru Если зайти на fssprus.ru, редиректит на настоящий сайт судебных приставов fssp.gov.ru.

Поделиться сообщением


Ссылка на сообщение

Ну да, повесил кто-то на их сервер шелл и рассылает письма. 

И не надо весь день на письма тратить, письмо хостеру с жалобой, они отправят кляузу владельцу. Придет бородатый админ, почистит сервер и всё будет хорошо до следующего взлома. 

Код я уберу из первого сообщения, если кому надо - сохраните.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.