Вредоносы

Анализ кода установщика вредоносов на jScript

Сегодня 27.10.2015 столкнулся с очередными "письмами счастья". Текст письма следующий:

 
Акт сверки(в приложении к пиcьмy).
Убедительная просьба до завтрашнего обеда выслать отсканированную копию подписанного с Вашей стороны экземпляра или же ваши замечания.
Хотели бы подчеркнуть, что за Вашей фирмой висит непогашенный платеж за август.

Файл представлял собой zip (акт_сверки_120951784.zip) в котором внутри .js, при этом расширение в имени стояло pdf, но за пробелами спрятано расширение js. Код JS не сложный, хотя и содержит много лишнего, сжат и содержит не читаемые названия переменных и функций. Я решил разобраться, что он делает.

Действия скрипта по шагам смотри далее...

опасность на bezdny.net и yandex-verification.net

Ещё 12 мая обнаружил, что мой Google Reader перестал получать новые цитатки с bezdny.net. Посмотрел что там случилось и обнаружил вредоносный код в rss ленте.

Подробнее под катом..

Поделиться:
RSS-материал