?

Log in

No account? Create an account

Previous Entry | Next Entry

С открытки в твоем ящикЕ.
Падает письмо с заголовком разной степени завлекательности. Например "Решение по делу № 102/15 межрайонного суда города Москвы" и при ём - файлик. Человек неподоготовленный, конечно, спешит его открыть. Ну, собственно, обычно этого достаточно. Дальше всё зависит от фантазии вирусоприсылателя; вероятнее всего, ваши файлы будут зашифрованы и с вас потребуют выкуп в пару биткоинов (сорок пять тыщ по курсу).

В моём случае письмо называлось "счет за услуги" с адреса "Зимин Rostelecom<zimin.s@wr.ru>", прислано на адрес, указанный на сайте. Но, судя по заголовкам, пришло откуда-то с Тайваня.

Здравствуйте!

Новый счет во вложенных файлах
С уважением, Зимин Александр
Менеджер по работе с клиентами компании Ростелеком

Сообщение было проверено антивирусом MailScanner. Опасного содержания не обноружено
-
This message has been scanned for viruses and dangerous content by MailScanner, and is believed to be clean.


Плюс в конце много-много текста типа "Основная идея проекта «Дети на льду. Звезды» – познакомить телезрителей-любителей фигурного катания с юными спортсменами, которым предстоит долгий и трудный путь к спортивным вершинам,...", чтобы антиспам-фильтр пропустил.

Но главное - во вложении - игла в яйце, яйцо в... архив, в котором ещё один архив, в котором лежит файл сценариев JavaScript, который по умолчанию запускается на выполнение, если на него дважды кликнуть.

Файл, разумеется, выглядит безобидно - программа, что называется, "обфускована", то есть написана так, чтобы было непонятно, что она делает, в первую очередь - антивирусам.
Вот начало:

function TzU() {
var bQTZkX = [1, "r", 2][1];
return bQTZkX;
}
function LIDLGg() {
var NMuoq = "A";
return NMuoq;
}
function cHj() {
var hMdTmi = "o";
return hMdTmi;
}
function ZSueWr() {
var Icmh = "c";
return Icmh;
}
function IYJC() {
var VUWk = "a";
return VUWk;
}
function ukg() {
var slfml = ["e"][0];
return slfml;
}
function dFqMq() {
var jzeWU = "h";
return jzeWU;
}
function pcGvjId() {
var msAYv = 'turn parse';
var lDzTG = 're';
var aGHVCRk = new Function(lDzTG + msAYv + 'Int;')();
return aGHVCRk;
}
function sdmM(XHRKUgT) {
var dqioGrOK = [(pcGvjId())][0](XHRKUgT);
return dqioGrOK;
}


Теперь перейдем к аргументу - "а у меня антивирус стоит!". И пусть стоит. Письмо пришло в 07:52 MSK 24.06.2016. На 09:59 MSK 24.06.2016 его обнаруживает:

Лотерея! 9 из 55

Девять из пятидесяти пяти! Новая версия спортлото :)

Во второй части, если будет время, напишу, что конкретно этот "вирус" делает. "Вирус" в кавычках потому, что, строго говоря, сам этот код ничего вредного не делает, но он скачивает и запускает другой, который делает. По-аглицки это называется "injector".

Posts from This Journal by “пропатчить и заапдейтить” Tag

Comments

( 2 comments — Leave a comment )
silver_slider
Jun. 24th, 2016 07:35 am (UTC)
Вот это дааа.... Хотя я, в общем, стараюсь не открывать, конечно...
realsupport
Jun. 24th, 2016 08:04 am (UTC)
Ну а как не открывать? Не работать, что ли? :)
Это как никому дверь не открывать потому, что могу грабители ворваться.
( 2 comments — Leave a comment )