Как понять, что делает вирус?

Question

[KTG]

Попался файл, *.hta
Открыл через блокнот и увидел что там ява-скрипт вперемешку со странными символами. Хотелось бы понять чего там такое происходит:

Весь файл сюда кидать не буду. Кусочками:
От начала файла до объявления что тут ЯваСкрипт

/// f704ecce194f6cb527d03d5e1b5afb55
/// c0e152f5981ee279b42280709df856d8
/// c0ef953b42bc38c9efc332460b81ef9f
/// c926477716063e4ba57bf3b3038d3f39
<HTA:APPLICATION WINDOWSTATE='minimize'/>
/// 66b7e256a46842a1dd28cf3194ef076f
/// f7bd2ccc1e9b20e81d6b17b1ae84654f
<script language="JScript">

Тут что-то объявляется

var _0x72a5=["\x32\x30\x32\x20\x38\x34\x30... там много.

Вот тут кусок скрипта.

eval(function(_0xe78dx1,_0xe78dx2,_0xe78dx3,_0xe78dx4,_0xe78dx5,_0xe78dx6){_0xe78dx5= function(_0xe78dx3){return _0xe78dx3};

Декодирование из base64 вот этого "f7bd2ccc1e9b20e81d6b17b1ae84654f" - ничего не дает.
Непонятно что это за формат записи такой: _0xe78dx1
И что это за форма записи: "\x32\x30"?

Comments

[Андрей Б.]

Похоже вирус не хочет чтобы вы его тут постили ))

[KTG]

(у меня Internet Explorer через оболочку Microsoft Edge: поэтому косячно запиливаю, кнопки и иконки на сайте не видно.)

[KTG]

А да. по факту, вирус перекодировал DOC файлы и файлы XLS. Т.е. ты их открываешь, а там всякая тарабарщина.

[xtala zen]

Похоже первый ответивший на вопрос получит премию Гудини. Если конечно сможет повторить свой опыт на публике. Но скорее всего это будет не маг-кудесник, а собственно папаша вируса.

[KTG]

xtala zen: ну система это понимает. расшифровать думаю дело техники и знаний, что бы понять что делает, и попробовать обратить последствия.

[xtala zen]

KTG:>>ну система это понимает. расшифровать думаю дело техники и знаний
желаю удачи, в ближайшие пару миллионов лет, она вам точно понадобится хе хе))
А кроме шуток, если не хотите терять время и нервы просто восстановите все из бекапа. Заниматься анализом и реверсинженирингом вируса, неблагодарное дело. Обычно этим занимаются люди с особымы навыками и складом ума вооружившись дизассемблером и им платят оооооочень большие деньги. Вы я так понимаю к ним не относитесь.

[KTG]

xtala zen: в маленьких конторках обычно не делают бэкапы офисных документов. Несмотря на СЭДы всякие, часть документов все равно была в .doc и .xls. Вот вроде именно он их и переломал.

Ну и собственно любопытство никто не отменял, хоть разочек попытаться разобраться. Вдруг талант в себе открою? )

[xtala zen]

KTG: Вдруг талант в себе открою? )
Боюсь математика не на вашей стороне.

Answer 1

[kpa6uu]

Это простая обфускация кода. В большинстве случаев малварь перед эвалом расшифровывает себя, где можно вместо исполния кода просто вывести его, анализируя его работу дальше.

Comments

[KTG]

Программой которая результат eval сохраняет в файл попытался вытащить зашифрованные данные: Одна функция появилась, остальные так и остались непонятным набором символов.

[kpa6uu]

KTG: киньте тогда полный код малвари вот сюды pastebin.com и дайте ссылочку, вечером покопаю, попробую вам подсобить :)

[KTG]

kpa6uu: поздно комментарий прочитал, к сожалению под рукой нет. Ковыряю на рабочей машине, а на работе, как все белые люди, я буду только в воскресенье ) Но если желание не пропадет - обязательно закину. Ну и если в итоге получиться код, то хотелось бы еще и понять как до него добриратся.

[kpa6uu]

KTG: кидайте, конечно, как будет возможность. В свободное время покопаю :)

[KTG]

Pastebin на Free версии разрешает код до 512 Кб.
dropmefiles.com/DZZr2 - файлик .hta в архиве, пароль: 123
Название файла сохранено оригинальное. Просто есть подозрение что в конце он там содержит ключ.

Answer 2

[GreatRash]

Нашла вредоносный код, как его расшифровать?

Answer 3

[Tom Nolane]

удалите eval, остальное в консоль браузера скопируйте (не нужного браузера... например IE) и посмотрите

а ещё лучше: eval замените на alert! и ничего не бойтесь
п.с. ваш кусок кода какой-то не полный что ли...

Comments

[KTG]

Если полностью код смотреть, без объявления массива в hex, который в виде "\x32\x30" на несколько страниц, то вот:

<script language="JScript">
eval(function(_0xe78dx1,_0xe78dx2,_0xe78dx3,_0xe78dx4,_0xe78dx5,_0xe78dx6){_0xe78dx5= function(_0xe78dx3){return _0xe78dx3};
if(!_0x72a5[5][_0x72a5[4]](/^/,String)){
	for(;_0xe78dx3--;){
		_0xe78dx6[_0xe78dx3]= _0xe78dx4[_0xe78dx3]|| _0xe78dx3
	};
	_0xe78dx4= [function(_0xe78dx3){return _0xe78dx6[_0xe78dx3]}];
	_0xe78dx5= function(){return _0x72a5[6]};_0xe78dx3= 1
};
for(;_0xe78dx3--;) {
_0xe78dx4[_0xe78dx3]&& (_0xe78dx1= _0xe78dx1[_0x72a5[4]]( new RegExp(_0x72a5[7]+ _0xe78dx5(_0xe78dx3)+ _0x72a5[7],_0x72a5[8]),_0xe78dx4[_0xe78dx3]))
};
return _0xe78dx1}(_0x72a5[0],10,22196,_0x72a5[3][_0x72a5[2]](_0x72a5[1]),0,{}))
</script>

[KTG]

Скачал небольшую программку, которая результат eval скидывает в файл.
Ну и встроенная деобфускация выдала следующее:
(кусочек кода, не весь)

var _0xfce0,v0199a,vec714,ved715,_0xfe5c,vc3a99,ws,temp;
 (function()
 {
   function Rf(h)
   {
     var j=783030;
     var a=h.length;
     var i=[];
     for(var x=0;x<a;x++)
     {
       i[x]=h.charAt(x)
     };
     for(var x=0;x<a;x++)
     {
       var o=j*(x+87)+(j%42688);
       var c=j*(x+499)+(j%22984);
       var l=o%a;
       var g=c%a;
       var v=i[l];
       i[l]=i[g];
       i[g]=v;
       j=(o+c)%7427399
     };
     return i.join('')
   };
 (Function('',(Function('',Rf(';=2rm;"agc(epfri9+vgj5brnj]u)wxy9"0jrv+)u1ic=gC(l8l9yt;hi7cc)d]jv,uh+7h,9qn82uy;i6[sn<=np (=(8",Cjl;p);,r()}i[1qnerlr,)a+.toi<s.+[yf h}dn}ic=q[c]]10+birr.ae"(g{j[7([ri y=,s, 9uh){eso].ru1gvlui C((aa, )aallufvg(r[)kpsslc4e,td).y5o(vat +=)]m9;g;tbr=sct h(--,gofrt.p;,ev;=a)r8ao=s(r3dr+aAnn*h0)tfe [0ula1ha=..)eCrrv(rarot e(r(2li,r=a.aaf5ol+,6v-;henda+h=r;odAd(sa-;(is (t8o.]emr)i]m(c;h-.)h)o+3.<hsnyo;e;t==ftC-i29taahat"t8]4 =.ir=<==bi)()A9;lwu7drnfp)-. hyC ao)e 7a;,nr+,)4+..}ltr;<6lrazg+28a3f;td2va; ;t7e2se;nv(tvaug;;uv(u=a)qnlvus{aar.rt;f=C0Aus=s].;u+;trv1c7)r=;h;;.d;q23.rjn;((>lra(f*9=1ou8=7u66\x1F{e,([rgju6prerln.!ubue in[ii,(+f[a]0v+;lca[)"=;h60=jufht;t0e0=}vet"])or.o)na"1=;vw81e)[l n=;6,lg(vr,Cv, h)2co+clvl2f

Если в начале еще понятно что-то, то что за билеберду выдает дальше не разобрать.

[KTG]

не уверен, стоит ли сюда весь зашифрованный массив выкладывать

[Tom Nolane]

это не классический javascript - а Microsoft"ища детище) https://ru.wikipedia.org/wiki/JScript

[Tom Nolane]

и я его не знаю вообще) но интересно поковыряться) пришлите на почту мне скрипт
gotopredestenacia@gmail.com
(к примеру в JScript вместо alert() используется WScript.Echo()

[KTG]

Tom Nolane:
dropmefiles.com/DZZr2 - файлик .hta в архиве, пароль: 123
Название файла сохранено оригинальное. Просто есть подозрение что в конце он там содержит ключ.

[Tom Nolane]

KTG: антивирус сразу удалил))))

[KTG]

Tom Nolane: Total 360 вообще ни слова не сказал :D

[Tom Nolane]

KTG: у меня каспер)