我是一個Linux的傢伙試圖瞭解Windows機器是怎麼感染了勒索。受害者獲得一個帶有zipfile的釣魚郵件,該zipfile包含一個模糊的javascript,該腳本似乎使用MSXML2.XMLHTTP下載惡意可執行文件,然後以某種方式將控制權轉移給WScript.Shell。這個javascript/WScript啓動器是如何工作的?
我的問題是怎麼可能在沒有用戶看到任何警報或確認框的情況下工作(也許他已經點擊了過去)。它只能在Internet Explorer中工作,或者只能在未打補丁的機器上工作,或者是可以在Firefox或Chrome中工作的更常見的攻擊。
的JavaScript代碼是在http://andrew.triumf.ca/invoice_scan_A0FPqn.js.txt 從我嘗試用「節點調試」,瞭解它的惡意軟件URL現在脫機,但它確實在2月25日的工作,並沒有感染機器 teslacrypt。
這是一項正在進行的工作,但這裏是我發現。
它依賴於WScript這很可能,它獲得非常低的部件,因此它可能實際運行的文件。請參閱Wikipedia:
Windows應用程序和進程可以使用Windows Script Host中的腳本自動執行。可以編寫病毒和惡意軟件來利用此功能。因此,一些人建議出於安全原因禁用它。[6]或者,防病毒程序可能提供控制在WSH環境中運行的.vbs和其他腳本的功能。
腳本打開文件的兩個不同的URL(可能是同一個文件,其他的網址作爲唯一一個備份)和WScript的接管,然後並運行文件,感染機器(見下文)。該文件已經無法象你說的(我還是省略了完整的URL),所以我不能反向工程它們,但如果你有一個副本的地方,我想看看一些時間。無論如何,這些都是我已經找到了WScript的電話:
最後一個從讀取二進制URL作爲流和此行:
petulantWGq[bestowIgX([ 189, 171, 187, 128 ])](commissionE3a + Math.pow(2, 22));
調用Exec方法的WS cript對象,它執行%TEMP%(環境變量)目錄中的文件。
最後,因爲它使用的是WScript,所以它使用ActiveX,這意味着絕對是Internet Explorer,但它can be enabled in other browsers所以我想幾乎沒有一個適當的反惡意軟件的任何標準Windows系統可以利用它。
我只有部分數據包捕獲,因此不具備完整下載。這可能是根據https://www.urlquery.net/report.php?id=1456545907161從173.82.74.197 –