Elektroda.pl
Elektroda.pl
X
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

JavaScript - Podejrzany e-mail "faktury" z plikiem JavaScipt

Serwis_Eldamar 14 Jun 2016 07:03 7551 9
  • #1
    Serwis_Eldamar

    Level 15  
    Witam,
    Otrzymałem e-mail od "pracownika psb mrówka", w załączniku plik "ksero_faktury.rar" wewnątrz archiwum plik JavaScipt "ksero_faktury.js.
    Moje pytanie dotyczy... jako że nie znam kompletnie JS, jakie zadanie ma do wykonanie owe komendy.
    Plik w załączniku, rozszerzenie zmienione na .txt aby nikomu nic złego nie narobił.
    Moderated By adamas_nt:

    Załącznik, ze względu na troskę o zdrowe nerwy użytkowników ;) oraz możliwość użycia w szkodliwych celach, usunąłem. Wkleiłem jedynie kod nagłówka dla dociekliwych.

    Code: text
    Log in, to see the code

    Dodam jeszcze, że moje podejrzenia co do owego skryptu pojawiły się ponieważ:
    - Był to jedyny plik w archiwum.
    - Google odpowiedział ".... illegal... that's all we know..."
    - Po wpisaniu imienia i nazwiska "owego pracownika" w google - 0 informacji.

    Co dziwne... adres email kończy się na @psbmrowka.com.pl



    Malwarebytes nic nie wykrył.

    Z góry dziękuję za pomoc,

    Pozdrawiam S_E
  • #3
    wojtus121
    Level 9  
    również otrzymałem maila dokładnie z adresu: skwierzyna(malpa)psbmrowka.com.pl
    ten sam tytuł oraz plik w środku radzę nie otwierać pliku js.
  • #4
    Serwis_Eldamar

    Level 15  
    Panowie... nie pytałem czy należy otwierać takie pliki.
    Również go nie uruchomiłem ale z ciekawości pytam co on robi i
  • #5
    wojtus121
    Level 9  
    Czytając o takich mailach podszywających się pod firmy najczęściej blokuje komputer i żąda zapłaty za odblokowanie, czy ten również nie wiem ale wolę nie sprawdzać :)
  • #6
    zmyslonyy
    Level 27  
    Nie rozumiem w istocie pytania? Co on robi? Trzeba by się było pokusić o sprawdzenie w praktyce albo przeanalizowanie skryptu...pytanie tylko po co? Sztuka dla samej sztuki? Zawodowo zajmują się tym firmy z oprogramowaniem antywirusowym i tam można spróbować zadać to pytanie. O ile wiem to tym skryptem ostatecznie można zrobić już niemal wszystko bo wystarczy, że ściągnie i uruchomi jakiś plik bez żadnej kontroli.

    Osobiście dostaje co tydzień jakąś porcje równie podobnych wiadomości z podobnymi lub innymi załącznikami i jakoś nie interesuje mnie co? który? robi...Wszystko jedno...każdy służy do tego by uprzykrzyć nam życie.
  • #7
    Serwis_Eldamar

    Level 15  
    Bardziej interesowało mnie to stricte w celach edukacyjnych niemniej jednak dziękuję za zainteresowanie.

    Pozdrawiam
  • #8
    Kroovka
    Level 23  
    W przypadku takich maili jedyne co mnie interesuje to jak najszybsze znalezienie klawisza DELETE na klawiaturze.
  • #9
    rufek90
    Level 24  
    Serwis_Eldamar wrote:
    Bardziej interesowało mnie to stricte w celach edukacyjnych niemniej jednak dziękuję za zainteresowanie.


    Kod jest przygotowany w ten sposób, by maksymalnie utrudnić jego odczytanie, także nikt raczej ci nie powie, co to dokładnie robi.

    Zauważ, że z domeną, z której wysłano maila nie jest powiązana żadna strona internetowa
  • Helpful post
    #10
    marcinj12
    Level 40  
    Witam,

    Z wirusami jest trochę jak z granatem - z jednej strony strach to trzymać w ręku, z drugiej - jeśli obchodzić się z nimi ostrożnie, nic się nam nie stanie ;)

    Zaciekawił mnie ten temat, a że też bywam ciekawy (i dociekliwy), poświęciłem godzinkę na obrobienie własnym skryptem - "odszyfrowanie" - owego załącznika (jeszcze nim szanowny moderator postanowił zatroszczyć się o nasze zdrowie... ;))

    Zaspokajając Twoją i zainteresowanych ciekawość: ten załącznik to zwykły kod napisany w VBScript. Twórca liczył pewnie, że nieświadomy zagrożenia odbiorca bądź wypakuje plik i uruchomi go klikając 2x, bądź, co jest częstą praktyką, wykona ową czynność jeszcze z poziomu programu pakującego - wówczas łatwiej ukryć fakt, że nie zawsze pojawia się ikonka np. pliku PDF.
    W obydwu przypadkach plik zostałby otwarty w systemie a jego kod wykonany.

    Ale to pewnie każdy wie, więc dalej:
    kod w pliku został zaciemniony przez zmianę sporej części liter na ich kody w formacie unicode (to te wszystkie liczby w stylu: \u0061 - każda odpowiada jakiemuś znakowi, cyfrze lub literze). Dodatkowo wstawiono mnóstwo zbędnego kodu przed i po każdej literze. Niestety nie znam VBSa na tyle żeby powiedzieć, co ta konstrukcja składniowa znaczy - wiem tylko, że można ją spokojnie pominąć.

    W ten oto sposób np. literka "e" została zapisana jako:
    Code: vbscript
    Log in, to see the code
    , gdzie ou1 to losowy ciąg znaków.

    Dodatkowo użyto zaciemnienia polegającego na zapisaniu niektórych liczb jako ich sumy, np. zamiast 100 wpisano: 20+20+5+5+25+25, a także nic nie mówiących nazw zmiennych. Jako ciekawostkę dodam, że w oryginalnym kodzie znalazło się sporo zmiennych nigdzie nie wykorzystanych co sugeruje, że autor użył jakiegoś uniwersalnego "generatora" wirusa (kto wie co tam źli ludzie używają...) bądź przerabiał bardziej rozbudowaną wersję kogoś innego.

    Po zastąpieniu liter unicode kodami ascii i pozbyciu się śmieci odpowiednio napisanym programikiem, dostajemy oczyszczony kod. Dodatkowo trochę go przerobiłem nadając bardziej znaczące nazwy zmiennych i formatując kod tak, jakbym samo go napisał ;) Może być trochę błędów składniowych - nie przykładałem się za dokładnie.

    Kod, co mam nadzieję szanowny moderator wybaczy - w celach wyłącznie edukacyjnych :) wklejam poniżej... Jego pozostawienie lub nie pozostawiam do decyzji szanownego kolegi adamasa. :)
    Jest to tak naprawdę dosyć prosty kod, który nie zawiera żadnej wiedzy tajemnej - do napisania przez każdego znającego choć trochę VBScript.

    Oto on, jak wspomniałem - troszkę przeze mnie "upiększony":
    Moderated By adamas_nt:

    Oczywiście usunąłem. Na wszystkie ify i else! Edukujcie się na kodzie, który Np z dużym prawdopodobieństwem zwróci prognozę pogody na polskim wybrzeżu w drugiej połowie lipca, a nie na czymś co instaluje i uruchamia "nie wiadomo co" z "nie wiadomo skąd" (regulamin, pkt. 3.1.8.).
    Wyjaśnienie, jako wartościowe dla działu oraz "ku przestrodze", pozostawiam.


    Co ten kod robi?
    Na dzień dobry (linie 19-25), o ile skrypt nie znajduje się w pliku adobe_update.js w folderze autostartu i nie wyświetlono użytkownikowi powiadomienia, wyświetli użytkownikowi w windowsowym okienku komunikat, że "The document is corrupted and cannot be opened" i plik sam się usunie. Niemniej, kopia skryptu w pamięci dalej będzie się wykonywała.

    W liniach 27-30 następuje prawdopodobnie jakiś rodzaj prostego zaszyfrowania pełnej ścieżki pliku adobe_update.js w katalogu autostartu - najpewniej tam właśnie zostanie umieszczona późniejsza kopia tego lub innego wirusa, bo nie odbywa się to w tym kodzie.

    Co natomiast się odbywa? Wykonuje się 300mln razy pętla, która tylko zwiększa swój licznik (prawdopodobnie: w celu osiągnięcia krótkiego opóźnienia). Przy 300mln. kroku zaczyna wykonywać się druga pętla, która co 80 sekund próbuje połączyć się z serwerem, którego adres IP jest podany w kodzie: 185.130.104.167 (jak ktoś chce może pogrzebać, gdzie to - zdaje się, że u ruskich :)).
    Łącząc się, przesyła do strony działającej na tym serwerze jakiś zaszyfrowany identyfikator oraz ścieżkę dostępu do pliku adobe_update.js na twoim komputerze.

    I teraz część wirusogenna - po przesłaniu tych danych, oczekuje na odpowiedź od serwera, którą następnie zapisuje (linie 48-53) do pliku o losowej nazwie od 0.exe do 100.exe, który to plik tworzy w katalogu tymczasowym, na który wskazuje zmienna środowiskowa %TEMP%.

    W tej chwili twórca wirusa może tak naprawdę zdecydować, jaki kod tam wrzuci - czyli może ci wysłać zarówno oprogramowanie szpiegujące twoje akcje, jak i takie, który zamieni twój komputer w kolejny serwer rozsyłający spam albo dokonujący ataku DoS na wskazany adres...

    W linii 56 sprawdza, czy plik .exe został utworzony oraz czy jego nagłówek zaczyna się od MZ (co wskazuje na pliki wykonywalne MS-DOS).

    Kolejno, następuje próba uruchomienia nowo zapisanego pliku o losowej nazwie (0-100.exe). Widać dwie próby otwarcia - w 61 linii za pomocą shell.open i w 69 za pomocą polecenia start /c linii komend.
    Jeśli się to uda - twój komputer wykona dowolny program przesłany przez atakującego...

    Na koniec skrypt usuwa zarówno plik .exe, jak i samego siebie.

    I tyle :) Mam nadzieję, że zaspokoiłem Twoją ciekawość ;)