Ir ao conteúdo
  • Cadastre-se
Rafael Lucas Bomfim

Análise do código de um malware no formato .js

Recommended Posts

Olá gente, é meu primeiro tópico neste fórum e quero falar sobre uma coisa que me ocorreu há 2 horas.

Tenho um pouco de experiência neste quesito de malwares/vírus, e estava eu baixando algumas músicas quando um arquivo suspeito começou o download através do navegador, mesmo assim eu deixei para ver do que se tratava. Ao terminar de baixar, era um arquivo compactado (winrar) e dentro dele havia um outro arquivo chamado "video_1320" vírus na certa!! Fiquei curioso para ver o funcionamento dele e o abri na sandbox do meu antivírus (uso do Comodo Internet Security), após isso vi no registro de eventos do antivírus que este programa se instalou nos processos do gerenciador de tarefas, abriu o CMD pela pasta system32, fez uma alteração virtual no registro do windows e criou alguns arquivos no AppData. Já removi qualquer vestígio dele do meu PC e gostaria que vocês me explicassem o que significa esses códigos que esse tal malware possui, pois nunca vi algo parecido.

Ele está no formato JScript (.js), e cliquei em "editar" e mostrou o seguinte código num bloco de notas:

var a=["\x23\x73\x65\x58\x73\x6D\x22\x4D\x31\x53\x4C\x6C\x25\x70\x64\x54\x23\x2F\x31\x63\x54\x77\x2D\x63\x6C\x6F\x6E\x53\x23\x32\x6A\x45\x22\x70\x2F\x65\x54\x6E\x65\x73\x64\x74\x6F\x65\x62\x6F\x23\x72\x6E\x53\x63\x70\x25\x6C\x6F\x70\x72\x2E\x64\x72\x30\x74\x72\x59\x75\x48\x23\x65\x23\x6D\x41\x25\x31\x6E\x25\x23\x6C\x73\x6E\x29\x6C\x74\x61\x25\x23\x71\x74\x43\x72\x4D\x23\x43\x74\x4F\x25\x64\x63\x75\x4D\x74\x6E\x66\x61\x41\x6F\x61\x72\x2F\x74\x30\x23\x69\x64\x47\x28\x54\x23\x61\x3A\x45\x65\x68\x2E\x

Etc... não colocarei tudo pois é um pouco extenso, então deixarei o arquivo anexado.

 

Será que alguém com experiência no assunto poderia me ajudar a entender isso ou pelo menos a funcionalidade deste executável malicioso? Segue em anexo o arquivo, mas NÃO RECOMENDO QUE ABRAM EM SEUS PCs, pois não sei que tipo de dano ele pode causar.

 

video_1320.zip

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Rafael Lucas Bomfim

 

Difícil alguém te dizer o que acontece quando executado esse script.

 

No link a seguir tem uma análise feita em sandbox mostrando os arquivos,  pastas e registros envolvidos em " Quick Overview " em " Summary ":

 

https://malwr.com/analysis/NGQ1ZTQ0ODlmNGRjNDNmY2FkYjU1OGNhZjNmODEyNGE/

 

Parece que ele altera algumas chaves de certificados para talvez abrir página falsa de banco como verdadeira além de fazer o download de um *.pbk que deverá ficar ativo no sistema carregado a partir da chave:  HKEY_USERS\\S-1-5-21-1547161642-507921405-839522115-1004\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

Compartilhar este post


Link para o post
Compartilhar em outros sites

@Henrique - RJ

 

Olá Henrique!

 

Muito obrigado pela resposta e pela análise, é uma grande possibilidade mesmo dele abrir essa tal página falsa de banco e fazer downloads no meu PC, já que alterou a chave do meu registro e estava acoplado nos processos... 

 

Agradeço muito pela disposição em me ajudar :-)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×