gpt4 book ai didi

javascript - 这个 javascript/WScript 启动器如何工作?

转载 作者:行者123 更新时间:2023-11-28 06:19:16 25 4
gpt4 key购买 nike

我是一名 Linux 人员,试图了解 Windows 计算机是如何感染勒索软件的。受害者收到一封带有 zip 文件的网络钓鱼邮件,该 zip 文件包含混淆的 javascript,该脚本似乎使用 MSXML2.XMLHTTP 下载恶意可执行文件,然后使用 WScript.Shell 以某种方式将控制权转移给它

我的问题是,如果用户没有看到任何警报或确认框(也许他看到并点击了过去),这如何工作。它只能在 Internet Explorer 中起作用,还是只能在未打补丁的计算机上起作用,或者是一种可以在 Firefox 或 Chrome 中起作用的更常见的攻击。<​​/p>

JavaScript 代码位于 http://andrew.triumf.ca/invoice_scan_A0FPqn.js.txt从我尝试使用“节点调试”来理解它时,恶意软件 URL 现在已离线,但它确实在 2 月 25 日起作用,并且确实感染了一台机器teslacrypt。

最佳答案

这项工作正在进行中,但这是我发现的。

它依赖WScript这可能使它可以访问低得多的组件,因此可以实际运行文件。请参阅维基百科:

Windows applications and processes may be automated using a script in Windows Script Host. Viruses and malware could be written to exploit this ability. Thus, some suggest disabling it for security reasons.[6] Alternatively, antivirus programs may offer features to control .vbs and other scripts which run in the WSH environment.

该脚本打开两个不同 URL 的文件(可能是同一个文件,另一个 URL 仅用作备份),然后 WScript 接管并运行文件,从而感染计算机(见下文)。正如你所说,这些文件现在不可用(我仍然省略了完整的 URL),所以我无法对它们进行逆向工程,但如果你在某处有副本,我想花点时间看一下。无论如何,这些是我发现的 WScript 调用:

  • CreateObject WScript.Shell
  • CreateObject MSXML2.XMLHTTP
  • CreateObject ADODB.Stream

最后一个以流的形式从 URL 读取二进制文件,这一行:

petulantWGq[bestowIgX([ 189, 171, 187, 128 ])](commissionE3a + Math.pow(2, 22));

调用 WScript 对象的 Exec 方法,该方法从 %TEMP%(环境变量)目录执行文件。

最后,由于它使用 WScript,所以它使用 ActiveX,这意味着肯定是 Internet Explorer,但它can be enabled in other browsers所以我想几乎任何没有适当的反恶意软件的标准 Windows 系统都可以利用它。

关于javascript - 这个 javascript/WScript 启动器如何工作?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35675397/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com