V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐关注
Meteor
JSLint - a JavaScript code quality tool
jsFiddle
D3.js
WebStorm
推荐书目
JavaScript 权威指南第 5 版
Closure: The Definitive Guide
honkew
V2EX  ›  JavaScript

收到一封奇怪的邮件,里面就一个 js 文件

  •  
  •   honkew · 2016-06-28 02:11:13 +08:00 · 6337 次点击
    这是一个创建于 3055 天前的主题,其中的信息可能已经有所发展或是发生改变。
    19 条回复    2016-06-29 09:13:35 +08:00
    msg7086
        1
    msg7086  
       2016-06-28 02:24:37 +08:00
    除了是病毒以外想不到别的解释。
    des
        2
    des  
       2016-06-28 08:40:22 +08:00
    勒索软件,点开你就 gg 了
    不过我的 js 文件关联的是 notepad++
    m939594960
        3
    m939594960  
       2016-06-28 09:09:32 +08:00
    这个代码混淆的有点强啊
    我弄了半天 最后终于看不下去了
    m939594960
        4
    m939594960  
       2016-06-28 09:18:28 +08:00   ❤️ 1
    大概研究成果如下
    https://imgur.com/delete/7ymtlsGD8FFpSnI
    会在这个链接 http://sherlock.uvishere.com/2ujlndd
    进行下载 exe 并运行
    m939594960
        5
    m939594960  
       2016-06-28 09:18:47 +08:00
    murmur
        6
    murmur  
       2016-06-28 09:20:26 +08:00
    @m939594960 是么 大概扫了一眼不就是[]里的符号直接 join 就可以
    pasturn
        7
    pasturn  
       2016-06-28 10:07:53 +08:00
    只是去掉了没用的字符,各种混淆不想还原了 https://jsfiddle.net/925d7foL/
    xuzicn
        8
    xuzicn  
       2016-06-28 10:29:48 +08:00
    WScript...一看就是要干坏事
    hiboshi
        9
    hiboshi  
       2016-06-28 10:31:37 +08:00
    chrome 提示是病毒
    xqin
        10
    xqin  
       2016-06-28 10:39:00 +08:00   ❤️ 2
    进一步还原一下, 便于阅读的版本: https://xqin.net/temp/v2.txt

    从代码上来看, 基本上就是用 xmlhttp 下载文件, 然后对下载到的文件进行一些解码, 然后保存为最终要执行的 exe 文件,
    并在执行的时候 传入 321 这个参数.

    要下载的文件有三个地址.
    var UIUr7 = ["http://babycotsonline.com/hiy96z", "http://3141592.ru/rvhijql", "http://sherlock.uvishere.com/2ujlndd"];
    目前我这边可以下载成功的是第三个文件, 下载到的文件是经过编码的(或者说是加密的), 然后在 js 里完成解码(解密), 然后再保存至 TEMP 目录, 并调用它.
    devzero
        11
    devzero  
       2016-06-28 11:00:15 +08:00 via Android
    没有下载,猜测应该和这个有关联 http://www.freebuf.com/articles/system/107478.html
    xqin
        12
    xqin  
       2016-06-28 11:01:13 +08:00
    最后得到了这个玩意
    http://imgur.com/0j3RCBg

    文件 SHA: F18C67DF41568549BE32B93934F9EF836FAC03D2
    MD5: 91908E93FA66AFA8FD7E995A5AA4F006
    learnshare
        13
    learnshare  
       2016-06-28 11:12:14 +08:00
    看起来只能在 Windows 上运行
    honkew
        14
    honkew  
    OP
       2016-06-28 13:29:39 +08:00
    邮件详情:



    发件人地址: [email protected]
    msg7086
        15
    msg7086  
       2016-06-28 13:42:46 +08:00
    @honkew 只是病毒而已,别纠结了,我这隔几天收一封,已经收了几百封了。
    salary123
        16
    salary123  
       2016-06-28 16:32:08 +08:00
    勒索病毒。别乱点。。
    Hant
        17
    Hant  
       2016-06-28 16:39:45 +08:00
    赶紧买瓶 84 ,到邮箱里消消毒。
    MalegeA
        18
    MalegeA  
       2016-06-28 16:44:39 +08:00
    chrome 提示是病毒
    unicorn1390
        19
    unicorn1390  
       2016-06-29 09:13:35 +08:00
    下个 exe= =。。需求分析不彻底啊, Mac 用户怎么办?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4810 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 09:48 · PVG 17:48 · LAX 01:48 · JFK 04:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.