Question

我是一个试图了解Windows机器如何感染勒索软件的Linux人。受害者收到带有zipfile的网络钓鱼邮件，zipfile包含一个混淆的javascript，该脚本似乎使用MSXML2.XMLHTTP下载恶意可执行文件，然后以某种方式使用WScript.Shell

将控制权转移给它

我的问题是如果没有用户看到任何警报或确认框（也许他做过并点击过去），这怎么可能。它只能在Internet Explorer中运行，还是仅在未修补的计算机上运行，或者是在Firefox或Chrome中可以使用的更普遍的攻击。</ p>

javascript代码位于http://andrew.triumf.ca/invoice_scan_A0FPqn.js.txt 从我尝试通过“节点调试”了解它，恶意软件URL现在处于脱机状态，但它确实在2月25日起作用并确实感染了一台机器 teslacrypt。

Answer 1

这项工作正在进行中，但这是我发现的。

它依赖于WScript，这可能使它可以访问更低的组件，因此可以实际运行文件。从维基百科看到这个：

Windows应用程序和进程可以使用Windows脚本宿主中的脚本自动执行。可以编写病毒和恶意软件来利用这种能力。因此，有些人建议出于安全原因禁用它。[6]或者，防病毒程序可能提供控制.vbs和在WSH环境中运行的其他脚本的功能。

该脚本打开文件两个不同的URL（可能是同一个文件，另一个URL仅作为备份），然后WScript接管并运行文件，感染机器（见下文）。现在这些文件不可用了（我还没有省略完整的网址），所以我无法对它们进行反向工程，但如果你在某个地方有副本，我想看看一些时间。无论如何，这些是我发现的WScript调用：

最后一个从URL中读取二进制文件作为流和此行：

petulantWGq[bestowIgX([ 189, 171, 187, 128 ])](commissionE3a + Math.pow(2, 22));

调用WScript对象的Exec方法，该方法执行％TEMP％（环境变量）目录中的文件。

最后，由于它使用WScript，它使用ActiveX，这意味着绝对是Internet Explorer，但它can be enabled in other browsers所以我猜几乎任何没有适当的反恶意软件的标准Windows系统都可以被它利用。< / p>