@NEOvision

JS что делает скрипт?

Скачал скрипт из письма "налоговой", понятно было что фейк, но стало интересно чем промышляют явоскриптовцы. Ошибся и вместо "открыть с помощью" нажал "открыть". Подскажите, стоит ли переустановить винду или можно както исправить содеянное? Что этот скрипт делает?
Текст не влез, можно посмотреть по ссылке: cloud.mail.ru/public/9qXY/WxfvA77dv
  • Вопрос задан
  • 479 просмотров
Решения вопроса 1
lazalu68
@lazalu68
Salmon
Как-то так, смотрите

Я не очень умею в весь этот ActiveX и виндовые PowerShell свистопляски, но кажется все эти кодированные послания расчитаны на IE, причем, насколько я понял, в этом IE должен быть checked довольно специфический чекбокс (что-то типа "разрешить доступ к cmd через веб интерфейс ActiveX", не дословно), поэтому я на самом деле не понял для кого эта ловушка. Скрипт пытается загрузить и выполнить хотя бы один файл из списка, в данном случае это resog.ru/wp-content/plugins/libravatar-replace/sys... и sdng.ru/wp-content/plugins/libravatar-replace/syst.... То есть если скрипт успешно загрузит и выполнит один файл, на этом он остановится.

Кстати, файлов по этому адресу нет, лол. Ну или сервер их отдает только по какой-то определенной комбинации информации о клиенте. В любом случае я со всех браузеров и ноды нашел там только 404.

После загрузки скрипт создает какие-то потоки, записывает полученный файл в системную папку, потом выполняет файл через cmd.exe, после чего удаляет.

Вот, собственно, и все.

Если я прав и 1) файлов по адресам действительно нету и 2) скрипт выполнится только в IE, то это чудо просто неспособно причинить какой либо вред вашему компу.

PS: слава Аллаху, никакого WshShell.Exec("calc"); там не было xD

PPS: в 53-й строчке неувязка, проясните кто сможет.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
26 нояб. 2024, в 13:05
450 руб./в час
26 нояб. 2024, в 12:58
30000 руб./за проект
26 нояб. 2024, в 12:56
1500 руб./в час