JS/TrojanDownloader.Nemucod.BZC という、トロイの木馬がやってきた - 大人の自由研究

大人の自由研究 ホーム » 未分類 » JS/TrojanDownloader.Nemucod.BZC という、トロイの木馬がやってきた

JS/TrojanDownloader.Nemucod.BZC という、トロイの木馬がやってきた


 嫁から請求書のメールが届いたけど何これ?
 って、言われた
 ZIPファイル「1'16-1'17.37181282.ZIP」が添付されている。
 もう、明らかに怪しいヤツだ。

 直ぐに、ウィルスだから開かないでって言ったが、既に実行したと(汗)
 とりあえず、iPhoneで実行できなかったよーってw

 もー、絶対に実行したらアカンって言っているのにー

 ZIPファイルの中身は、「1'16-1'17.80549021.rtf.js」が1つ入っていた。
 お、スクリプトファイル。
 せっかくなので、中身を覗いてみる事にした。

 そして、大人の自由研究だw
 JSなので、解読出来るかなって思ったの。
 まぁ、当たり前だが、難読化されているよね~
 ただし、そんな複雑なモノでもないようで、文字列部分を分割して、長い訳の分からない変数名に置き換えている感じ
 スクリプトの大半が、変数の定義で、後半にプログラムらしきものがあるようだw

var ajqozjatromjezvepunxodycdacdytujrewvodrepv = ["ti", -43, 79];
var lcyjxoxgibocalixfunzupmekdytibucidipvobmelcipqosne = ["cm", -10];
var kogezakamujkudifsontoxyjgyfzybdatkapehlufgokmuvypanurumdyrdynputjiveragetyloxuwitijfim = ["leS", -36, -100];
var afuxtucudgafetzaruwruvuzoxecjolvybdodqyhpukvu = [".co"];
var utamokagweducuqagnolxadygeksaxygcidfyksahvexitocnyngu = [92, "Att"];
var ipdyjujkufybentahmolaxmupowjiravzyhpipebylyjivymwycqylzohejtyvvasidmicybsarsakkybgixezlobulvyvywoqri = ["2\\"];
var irqezwizxywulsaloppiqezapepegefoxeqmucuqdujeleshirqavpewtiqikanyvehmiswymyhibjeqy = ["e ", -34, -90];
var fbemwyzvuxiqhehexwacnygcuvetapunfimutwitpedfiheckakmibymafs = ["cr", -58];
var ikmupadqeslivzymotpixcycewmikqojgysvuhfezvetjulahifveknyhozifofixhymhondaxkixe = ["leS", 81, 83];

 :
 :
 :
 :

var wxuhzezhy = new Function(oflowyroskuxyszibsepfutegydyvinyztumry[0] + eramirjugfogcicersizfinuqabrelapretsyzpibdunagjezihsihymugqogahgosuxagzyhoqvojkibd[0] + adtatosizcaxsedudwocamfuxxupbipisalinaqabduqxowopfygokelrygdy[0] + ufjexacdurexserxuvrynegfukwinpoxerewuvpognyvpykog[0] + xnugycuxepnehcacimsumikwodqykarugcedigvipgapymoqavizerkawfekcaqeqybkizotaseko[0] + itovaxvivtiszycejizqybluxxumownuwqiqwycgegxoxbizjitarohligcoxofeczezu[2] + cowvemizopywowywovuxobciwra[0])();



 どうやら、長い名称の配列の1つに文字列があり、それを繋げてプログラムにしている感じw
 まるで、パズルを解くような感覚。


 解析をしていくと
 http://luisserranoiraola.com/img/esp/tfax.exe
 というファイルを読み込んでいる。そして、怖い事に、実行しているではないかーー!!

 そして、最後に自分自身を消す!


 当初、ウィスル検知しなかったのですが、午後のアプデで対応したらしく、反応(ウィスル検知)していた。
 ほんの数時間の間だが、検知できない期間があり、その期間で、ファイルを実行してしまうという人(嫁)が居た事になる。
 恐ろしいね。
 とりあえず、怪しい(※)と思った添付ファイルは絶対に開かないように!
 例え、送信元が知り合いであっても。疑う必要がありますねw

 .js ファイル や、.svg は実行しない事!



 これと似たようなファイルが他のメアドにも届いていた。
 中身を見ると、やってる事は一緒。
 ただ、変数名などがまったく違うようだ。



関連記事
スポンサーサイト
コメント(管理者承認後に公開します)

※未入力可能。メールアドレスは公開されますので、ご注意ください。
非公開コメント

トラックバック

http://ukkey3.blog33.fc2.com/tb.php/700-b07a091a