1
msg7086 2016-06-28 02:24:37 +08:00
除了是病毒以外想不到别的解释。
|
2
des 2016-06-28 08:40:22 +08:00
勒索软件,点开你就 gg 了
不过我的 js 文件关联的是 notepad++ |
3
m939594960 2016-06-28 09:09:32 +08:00
这个代码混淆的有点强啊
我弄了半天 最后终于看不下去了 |
4
m939594960 2016-06-28 09:18:28 +08:00 1
大概研究成果如下
https://imgur.com/delete/7ymtlsGD8FFpSnI 会在这个链接 http://sherlock.uvishere.com/2ujlndd 进行下载 exe 并运行 |
5
m939594960 2016-06-28 09:18:47 +08:00
|
6
murmur 2016-06-28 09:20:26 +08:00
@m939594960 是么 大概扫了一眼不就是[]里的符号直接 join 就可以
|
7
pasturn 2016-06-28 10:07:53 +08:00
只是去掉了没用的字符,各种混淆不想还原了 https://jsfiddle.net/925d7foL/
|
8
xuzicn 2016-06-28 10:29:48 +08:00
WScript...一看就是要干坏事
|
9
hiboshi 2016-06-28 10:31:37 +08:00
chrome 提示是病毒
|
10
xqin 2016-06-28 10:39:00 +08:00 2
进一步还原一下, 便于阅读的版本: https://xqin.net/temp/v2.txt
从代码上来看, 基本上就是用 xmlhttp 下载文件, 然后对下载到的文件进行一些解码, 然后保存为最终要执行的 exe 文件, 并在执行的时候 传入 321 这个参数. 要下载的文件有三个地址. var UIUr7 = ["http://babycotsonline.com/hiy96z", "http://3141592.ru/rvhijql", "http://sherlock.uvishere.com/2ujlndd"]; 目前我这边可以下载成功的是第三个文件, 下载到的文件是经过编码的(或者说是加密的), 然后在 js 里完成解码(解密), 然后再保存至 TEMP 目录, 并调用它. |
11
devzero 2016-06-28 11:00:15 +08:00 via Android
没有下载,猜测应该和这个有关联 http://www.freebuf.com/articles/system/107478.html
|
12
xqin 2016-06-28 11:01:13 +08:00
最后得到了这个玩意
http://imgur.com/0j3RCBg 文件 SHA: F18C67DF41568549BE32B93934F9EF836FAC03D2 MD5: 91908E93FA66AFA8FD7E995A5AA4F006 |
13
learnshare 2016-06-28 11:12:14 +08:00
看起来只能在 Windows 上运行
|
14
honkew OP |
16
salary123 2016-06-28 16:32:08 +08:00
勒索病毒。别乱点。。
|
17
Hant 2016-06-28 16:39:45 +08:00
赶紧买瓶 84 ,到邮箱里消消毒。
|
18
MalegeA 2016-06-28 16:44:39 +08:00
chrome 提示是病毒
|
19
unicorn1390 2016-06-29 09:13:35 +08:00
下个 exe= =。。需求分析不彻底啊, Mac 用户怎么办?
|