Prośba o analizę kodu .js podsyłanego w mailu udającym Pocztę Polską z “kacabji”  tzn. ciekaw jestem co to robi.

treść maila z “poczta-pl-exp.com ([46.254.21.84])” podpuszczająca odbiorcę :Info. Przesylka nie zostala doreczona odbiorcy w dniu 13 czerwca 2016, poniewaz nikt nie otworzyl kurierowi. Musisz wydrukowac informacje dotyczace przesylki i zglosic sie do najblizszego biura firmy. Prosze zobaczyc zalacznik do informacji. Przechowywanie przesylki ponad 30 dni wiaze sie z naliczeniem kary. Informacje o przechowywaniu oraz pobieranych oplatach dostepne na naszej stronie internetowej. Z powazaniem, Poczta Polska.

do oczywiście załącznik do maila w .js (faktura_nr_956769585888832768.js ) dla naiwniaków do wydrukowania (daję jako .txt)

kacabski_syf.txt

Heh,

“karuva8 = “n”;
    var ekefr6 = uztun + karuva8;
    return ekefr6;
}
function hcoka4() {
    var onewzucka9 = ‘me’;
    return onewzucka9;
}
function gemqe() {
    var ofecy = “MSX”;
    return ofecy;
}
function cyvqazhi4() {
    var xnaleri4”

Z tego co ci podałem to tworzy zmienne, ustawia je od razu i zwraca. 

Ten skrypt jest po obfuskacji, wątpię by ktoś się tego podjął. Można by próbować wyciągać stringi z tego i je łączyć, ale jeśli to jest kompresowane i/lub szyfrowane (w czym nie ma sensu) to trzeba 1:1.