一个下载Trojan-Downloader.Win32.Delf.ajm,技术比较新奇的网页

endurer 原创

2007-01-08 第1

网页的内容为JavaScript脚本,分为三个部分:


第1部分 是注释:
/---------
/*GW]22Y!9YZbYvwYvA]+Tuv*Y{y]{ uw]{y]y!]F u*uGf]F*YG]vlY Z]vAY*uGR]{cYTG]Tbu{*uG+Y+Z]+Tu&9]yTu +uvR]GW]F*]F!Y&z]+ou su{GuGGu{{]y2uv]1uvf]Ff]y2Yy]*/execScript/* y]+2YXR]*fu*Zuc0Ylc]X*u*T]y+u!9u!z]G2]F*]F Y&G]{fuG*/
---------/

第2部分 是用(" ") 括起来的可执行代码:
/---------
("/43/100/176/……/157/144/145")
---------/
中间的代码我省略了,可以看到这里使用了转义字符。

第3部分 还是注释:
/---------
/*lfuvXuvA]vW]Z9]ZbYvG]9uv2uFuvfuX]2fu +]{fuG]+0]+sY{2]G*Yy2YvlYF%Y+*u u!GY!z]{&uvXYFc]yT]Wv]+oYG2]y!Y&9Yy!YvWYv+]+3uv&Y{y]*u8]{W]+*]+su uv)]+*Y*/
---------/

由于第2部分可执行代码包含了转义字符,所以最简单办法就是断开网络连接,然后让网页执行一次……

执后的结果是:
/---------
#@~^lwwAAA==[Km;s+YRS……vb*hGcCAA==^#~@JScript.Encode
---------/
中间的代码我省略了。

看到开头的字符,经常弄网页代码的朋友应该会想到encode(),而最后的JScript.Encode也暴露了目标。

用JScript.decode来解码……

【推荐】在线网页脚本代码加密和解密
http://endurer.bokee.com/2047776.html

OK,出来了!
/---------
document.write(unescape('%3C%53%43%52……%54%3E'))
---------/

让它再执行一次,得到一段VBScript脚本,功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 从某网站下载文件 fics/fics.exe,保存为 %temp%/svhost.exe,并利用Shell.Application 对象QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQ 的 ShellExecute 方法 来运行。

/---------
文件说明符 : D:/test/fics.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-1-8 14:59:58
修改时间 : 2007-1-8 14:59:59
访问时间 : 2007-1-8 15:45:13
大小 : 41984 字节 41.0 KB
MD5 : 23c572893d8ad2f929a8d4b12be37f5f
---------/
Kaspersky 报为 Trojan-Downloader.Win32.Delf.ajm

这个病毒以前遇到过,如:

一个被加入下载木马Trojan-Downloader.Win32.Delf.ajm的网站
http://endurer.bokee.com/5932854.html
http://blog.csdn.net/Purpleendurer/archive/2006/12/07/1434118.aspx
http://blogone.net/user50/endurer/blog/48105243.html

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值