02.06.2017, 23:34
|
|
Постоянный
Регистрация: 14.11.2016
Сообщений: 350
С нами:
4997846
Репутация:
6
|
|
Сообщение от Ruslan365c
↑
Это не вредоносный файл а просто мошеннический текст если такой текст по почте рассылают то некоторые антивирусные компании добавлют его в свои базы хоть это обычьный текст
Нет, обычный текст не могут добавить себе в базы, а как ты представляешь себе сигнатуру таккого файла, как её строить?
Сообщение от Ruslan365c
↑
а кто будет это дерьмо через дизассемблер гнать ? какой смысл читаемое прогонять через дизассемблер ?
Это не гавно! Вполне себе кзампл, на уровне! Дока имеет встроенный оле найтив объект версии 1.0 автоматизированный анализ показывает явное вредоносное поведение, запаковка, модификация кода, скрытие подозрительных функций и т.д.
Плюс дропер , например как он получает информацию об антивирусе на джаваскриптъ:
Код:
var colItems = new Enumerator(objWMIService.ExecQuery('Select * From AntiVirusProduct'));
var sInfoReport = '[AntiViruses]' ;
for(; !colItems.atEnd(); colItems.moveNext()) {
var t = colItems.item();
sInfoReport = sInfoReport + 'displayName: ' + t.displayName+ 'a\nb';
sInfoReport = sInfoReport + 'instanceGuid: ' + t.instanceGuid + 'a\nb';
sInfoReport = sInfoReport + 'pathToSignedProductExe: ' + t.pathToSignedProductExe + 'a\nb';
sInfoReport = sInfoReport + 'pathToSignedReportingExe: ' + t.pathToSignedReportingExe + 'a\nb';
sInfoReport = sInfoReport + 'productState: ' + t.productState + 'a\nb';
sInfoReport = sInfoReport + 'timestamp: ' + t.timestamp + 'a\nb';
}
Круто! Чё
Дока напичкана малварью как рождественская индейка - яблоками
Кстати, ели нужно, этот код можно использовать как часть пайлоад для XSS-атаки в тэгах
|
|
|