Mail z załącznikiem zip w środku kod *.js


(adami) #1

Tak z ciekawości pobrałem ten załącznik po rozpakowaniu po drodze zmiana nazwy ukazał się plik o rozszerzeniu .js ,czy można wstawić ten kod na forum chciałbym coby znający język powiedział co to robi niedobrego ?


(Drobok) #2

Wrzuć na wklej.org w poście daj link. 


(kuba3351) #3

Kod wstawić możesz, ale nie wiem czy to coś da. Moi rodzice dostawali podobne e-maile. Kod wewnątrz tych plików jest zaciemniony co już jest podejrzane. Jak nie musisz to nie otwieraj, a mogę się założyć że nie musisz. W windowsie dwukrotne kliknięcie na takim pliku powoduje jego wykonanie.


(stan55) #4

Tyle się pisze, nie otwieraj nie zamawianych maili, a tu kolejny ciekawski! Za chwilę będziesz pisał na forum że komputer wolno chodzi lub masz zablokowane pliki. Wyślij to do kosza,nie dochodź co w nim jest.


(adami) #5

Nie obchodzi mnie co cię dzieje w windowsie .

 

Nie otwieram tego w sensie uruchom tylko edytuje ,Gedit radzi sobie z tym nieźle nie dość że nie jest nic zaciemnione to pięknie koloruje składnie.

Jak wyżej tylko edytuje ,plik nie ma uprawnień z automatu wykonaj jako program musiałbym je nadać także nie ma zmartwienia.

Oto ten majstersztyk :http://wklej.org/id/2879745/


(stan55) #6

Dlaczego pytasz się na forum co to za kod, skoro nie masz zamiaru kogokolwiek słuchać, zaspokoiłeś swoją ciekawość, tyle że dalej nic nie wiesz, bo to jest jedynie fragment kodu w JS.


(adami) #7

Był tam tylko ten plik z taką zawartością piszesz nie otwieraj ,szkopuł w tym że edytowałem zawartość przed założeniem tematu i to nie otwieraj to już musztarda po obiedzie. Ciekawy jestem jakiego to może psikusa zrobić.

Raczej przez edycje to nic się nie wykonuje.


(kuba3351) #8

Po kodzie widać że użyto jakiegoś zaciemniacza, to że jest kolorowanie składni nic nie znaczy, bo kod żeby się wykonał, musi być zgodny z semantyką języka, a jeśli jest zgodny to i jest kolorowanie składni.

 

Ten kod uruchomiony na Windowsie najprawdopodobniej pobierze i zainstaluje jakieś dziadostwo, a na linuxie jest raczej nieszkodliwy, choć mogę się mylić.


(hagisek1998) #9

Odkopałem ten temat badając bezpieczeństwo JavaScript. Podesłany kod po zdekodowaniu wygląda tak: http://wklej.org/hash/86b75cdd188/

NIE URUCHAMIAĆ KODU W PRZEGLĄDARCE INTERNET EXPLORER (najlepiej też żadnej innej…)

Sam skrypt działa następująco:

  • Aplikacja pobiera zawartość strony http://jetonlyseath[.]top/log.php?f=1.dat (której obecnie nie udało mi się wyświetlić; prawdopodobnie serwer nie jest już aktywny;)
  • Tworzy plik tymczasowy (nazwa losowa) w systemie Windows za pomocą kontrolek ActiveXObject (która jest dostępna tylko w Internet Explorer 9)
  • Zapisuje pobrane z serwera dane do pliku o rozszerzeniu .exe (zapewne dane binarne)
  • Wykonuje utworzony, pobrany z internetu plik - wirus.

Nie wiadomo co dzieje się dalej. Trzeba by zdobyć plik, który był pobierany z serwera, a następnie zbadać go na niższym poziomie… poziomie assemblera.

Swoją drogą dekodowanie tego typu, “zaciemnionych” jak to mówicie, plików jest w przypadku JavaScriptu dosyć łatwe, ponieważ JavaScript jest językiem interpretowanym. W każdym momencie można podejrzeć zawartość poszczególnych zmiennych. Zatem skoro ten skrypt jest zakodowany, to przed wykonaniem musi się sam odkodować. Wystarczy znaleźć miejsce między odkodowaniem a wykonaniem - przerwać działanie skryptu - i podejrzeć, co właśnie miało się wykonać.

Pozdrawiam, uważajcie na siebie, a jeszcze bardziej na załączniki w mailach! :wink: