Se connecter
Inscription
Mot de passe perdu
Supprimer un message
A la base, on se télécharge un ZIP qui contient un gros JS bien obfusqué. Sauf qu'en grattant un peu, c'est de l'obfuscation basique. De là, on en déduit que :
- le virus ne cible que les utilisateurs IE car il nécéssite un ActiveXObject pour initialiser un Scripting.FileSystemObject.
- le js ouvre un MSXML.XMLHttpRequest pour télécharger un payload (lequel ? On doit encore creuser - probablement un script vbs)
- le js récupère le TEMP avec un GetTempName(), y crée un fichier où il injecte le contenu du payload, puis lui applique un WShell.execute()
Reste à piger le contenu du payload
Je vais faire tourner le JS sur une VM isolée qui aura juste accès à bpost-server.org et à rien d'autre et monitorer l'injection du fichier créé par le JS pour pouvoir examiner son contenu.
- le virus ne cible que les utilisateurs IE car il nécéssite un ActiveXObject pour initialiser un Scripting.FileSystemObject.
- le js ouvre un MSXML.XMLHttpRequest pour télécharger un payload (lequel ? On doit encore creuser - probablement un script vbs)
- le js récupère le TEMP avec un GetTempName(), y crée un fichier où il injecte le contenu du payload, puis lui applique un WShell.execute()
Reste à piger le contenu du payload
Je vais faire tourner le JS sur une VM isolée qui aura juste accès à bpost-server.org et à rien d'autre et monitorer l'injection du fichier créé par le JS pour pouvoir examiner son contenu.
