Mini décorticage d'un cheval de troie
Plusieurs fois que je reçois ce truc ces derniers temps, la tentation fût trop forte. 
La menace arrive par mail :
Avec une pièce jointe de type pdf.zip (double extension) qui contient un fichier .js :
Extrayons joyeusement ce .js, qui n'est au départ qu'un vulgaire fichier texte :
Ouvrons-le sous Notepad++ :
Dedans, c'est le fouillis volontaire, hors de question d'afficher quelque chose de clair à quiconque voudrait voir ce que fait ce script.
Certains morceaux de texte sont parfaitement compréhensibles pour les plus aguerris :
En supprimant le bruit voila ce que ça donne :
En haut pareil on retrouve quelques morceaux de textes liés à du Jscript :
J'ai presque peur :
Téléchargons ce .exe :
Oh une icône, ça m'a bien l'air d'être une application Win32 :
Cela se confirme, une pauvre application Portable Executable :
Évidemment aucune info, discrétion est le maître mot.
Après réactivation de l'antivirus, Avast trouve bien cette merde :
Allez, hop, suppression et au dodo.
La menace arrive par mail :
Avec une pièce jointe de type pdf.zip (double extension) qui contient un fichier .js :
Extrayons joyeusement ce .js, qui n'est au départ qu'un vulgaire fichier texte :
Ouvrons-le sous Notepad++ :
Dedans, c'est le fouillis volontaire, hors de question d'afficher quelque chose de clair à quiconque voudrait voir ce que fait ce script.
Certains morceaux de texte sont parfaitement compréhensibles pour les plus aguerris :
En supprimant le bruit voila ce que ça donne :
En haut pareil on retrouve quelques morceaux de textes liés à du Jscript :
J'ai presque peur :
Téléchargons ce .exe :
Oh une icône, ça m'a bien l'air d'être une application Win32 :
Cela se confirme, une pauvre application Portable Executable :
Évidemment aucune info, discrétion est le maître mot.
Après réactivation de l'antivirus, Avast trouve bien cette merde :
Allez, hop, suppression et au dodo.