这个 javascript/WScript 启动器是如何工作的？

Question

我是一名 Linux 专家，试图了解 Windows 机器是如何感染勒索软件的。受害者收到了一封带有 zip 文件的网络钓鱼邮件，该 zip 文件包含一个混淆的 javascript，该脚本似乎使用 MSXML2.XMLHTTP 下载了一个恶意可执行文件，然后以某种方式使用 WScript.Shell 将控制权转移给它

我的问题是，如果用户没有看到任何警报或确认框（也许他看到并点击过去），这怎么能工作。它是只在 Internet Explorer 中有效，还是只在未打补丁的机器上有效，或者是一种更普遍的攻击，可以在 Firefox 或 Chrome 中有效。

javascript 代码位于http://andrew.triumf.ca/invoice_scan_A0FPqn.js.txt 根据我尝试通过“节点调试”来理解它，恶意软件 URL 现在处于脱机状态，但它确实在 2 月 25 日有效并且确实感染了一台机器 特斯拉密码。

Answer 1

这是正在进行的工作，但这是我发现的。

它依赖于WScript，这可能使它可以访问低得多的组件，因此可以实际运行文件。从维基百科看到这个：

Windows 应用程序和进程可以使用 Windows Script Host 中的脚本自动化。可以编写病毒和恶意软件来利用这种能力。因此，有些人出于安全原因建议禁用它。 [6]或者，防病毒程序可能会提供功能来控制在 WSH 环境中运行的 .vbs 和其他脚本。

脚本打开两个不同 URL 的文件（可能是同一个文件，另一个 URL 仅用作备份），然后 WScript 接管并运行文件，感染机器（见下文）。正如你所说，这些文件现在不可用（我仍然省略了完整的 URL），所以我无法对它们进行逆向工程，但如果你在某处有副本，我想看看一段时间。无论如何，这些是我发现的 WScript 调用：

• CreateObject WScript.Shell
• CreateObject MSXML2.XMLHTTP
• CreateObject ADODB.Stream

最后一个从 URL 中读取二进制文件作为流和这一行：

petulantWGq[bestowIgX([ 189, 171, 187, 128 ])](commissionE3a + Math.pow(2, 22));

调用 WScript 对象的 Exec 方法，该方法从 %TEMP%（环境变量）目录执行文件。

最后，由于它使用 WScript，它使用 ActiveX，这意味着绝对是 Internet Explorer，但它can be enabled in other browsers 所以我猜几乎任何没有适当反恶意软件的标准 Windows 系统都可以被它利用。