Supprimer un message
Raison de suppression du message (envoyée à l'utilisateur)

Voulez vous réellement supprimer ce message?  


Clandestino
A la base, on se télécharge un ZIP qui contient un gros JS bien obfusqué. Sauf qu'en grattant un peu, c'est de l'obfuscation basique. De là, on en déduit que :
- le virus ne cible que les utilisateurs IE car il nécéssite un ActiveXObject pour initialiser un Scripting.FileSystemObject.
- le js ouvre un MSXML.XMLHttpRequest pour télécharger un payload (lequel ? On doit encore creuser - probablement un script vbs)
- le js récupère le TEMP avec un GetTempName(), y crée un fichier où il injecte le contenu du payload, puis lui applique un WShell.execute()

Reste à piger le contenu du payload :smile: Je vais faire tourner le JS sur une VM isolée qui aura juste accès à bpost-server.org et à rien d'autre et monitorer l'injection du fichier créé par le JS pour pouvoir examiner son contenu.
Informaticien.be  - © 2002-2019 Akretio SPRL  - Generated via Kelare - Hosted by Verixi Internet Services
The Akretio Network: Akretio  - Freedelity  - KelCommerce  - Votre publicité sur informaticien.be ?