Fatal编程技术网
  • javascript/
  • 这个javascript/WScript启动器是如何工作的?

这个javascript/WScript启动器是如何工作的?

javascript

这个javascript/WScript启动器是如何工作的?,javascript,malware,wsh,Javascript,Malware,Wsh,我是一个Linux的家伙,试图了解Windows机器是如何被勒索软件感染的。受害者收到了一封带有zipfile的钓鱼邮件,zipfile包含一个模糊的javascript,该脚本似乎使用MSXML2.XMLHTTP下载了一个恶意的可执行文件,然后以某种方式使用WScript.Shell将控制权转移给它 我的问题是,在用户看不到任何警报或确认框的情况下(可能他看到了并单击了“过去”),这怎么可能起作用。它只在Internet Explorer中工作,还是只在未打补丁的机器上工作,或者是在Firef

我是一个Linux的家伙,试图了解Windows机器是如何被勒索软件感染的。受害者收到了一封带有zipfile的钓鱼邮件,zipfile包含一个模糊的javascript,该脚本似乎使用MSXML2.XMLHTTP下载了一个恶意的可执行文件,然后以某种方式使用WScript.Shell将控制权转移给它

我的问题是,在用户看不到任何警报或确认框的情况下(可能他看到了并单击了“过去”),这怎么可能起作用。它只在Internet Explorer中工作,还是只在未打补丁的机器上工作,或者是在Firefox或Chrome中工作的更普遍的攻击

javascript代码位于 从我试图用“节点调试”来理解它来看,恶意软件URL现在是离线的,但它在2月25日确实起了作用,并且确实用病毒感染了一台机器
teslacrypt.

这是正在进行的工作,但以下是我的发现

它依赖于可能使它能够访问低得多的组件,因此实际上可以运行一个文件。请参见维基百科:

可以使用Windows脚本主机中的脚本自动化Windows应用程序和进程。可以编写病毒和恶意软件来利用这种能力。因此,一些人建议出于安全原因禁用它。[6]或者,防病毒程序可以提供控制.vbs和在WSH环境中运行的其他脚本的功能

脚本打开两个不同的URL(可能是同一个文件,另一个URL仅用作备份)文件,然后WScript接管并运行这些文件,从而感染机器(见下文)。正如您所说的,这些文件现在不可用(我仍然省略了完整的URL),因此我无法对它们进行反向工程,但是如果您在某处有副本,我想找时间查看一下。总之,我找到了以下WScript调用:

  • CreateObject WScript.Shell
  • CreateObject MSXML2.XMLHTTP
  • createobjectadodb.Stream
最后一个从URL中读取二进制文件作为流,这一行:

petulantWGq[bestowIgX([ 189, 171, 187, 128 ])](commissionE3a + Math.pow(2, 22));
调用WScript对象的
Exec
方法,该方法从%TEMP%(环境变量)目录执行文件

最后,由于它使用WScript,所以它使用ActiveX,这意味着肯定是Internet Explorer,但我想几乎任何没有适当反恶意软件的标准Windows系统都可以利用它进行攻击。

这是正在进行的工作,但我发现了以下内容

它依赖于可能使它能够访问低得多的组件,因此实际上可以运行一个文件。请参见维基百科:

可以使用Windows脚本主机中的脚本自动化Windows应用程序和进程。可以编写病毒和恶意软件来利用这种能力。因此,一些人建议出于安全原因禁用它。[6]或者,防病毒程序可以提供控制.vbs和在WSH环境中运行的其他脚本的功能

脚本打开两个不同的URL(可能是同一个文件,另一个URL仅用作备份)文件,然后WScript接管并运行这些文件,从而感染机器(见下文)。正如您所说的,这些文件现在不可用(我仍然省略了完整的URL),因此我无法对它们进行反向工程,但是如果您在某处有副本,我想找时间查看一下。总之,我找到了以下WScript调用:

  • CreateObject WScript.Shell
  • CreateObject MSXML2.XMLHTTP
  • createobjectadodb.Stream
最后一个从URL中读取二进制文件作为流,这一行:

petulantWGq[bestowIgX([ 189, 171, 187, 128 ])](commissionE3a + Math.pow(2, 22));
调用WScript对象的
Exec
方法,该方法从%TEMP%(环境变量)目录执行文件

最后,由于它使用WScript,所以它使用ActiveX,这意味着肯定是Internet Explorer,但我想几乎任何没有适当反恶意软件的标准Windows系统都可能被它利用。

发布这些链接时要小心,即使它们不在任何地方today@self,你认为我应该完全删除它们吗?@approxiblue,谢谢,我只删除URL,因为它们不相关,特别是如果被屏蔽的话。谢谢。用户是否需要单击任何内容,或者只是双击zipfile中的“文档”?在我看来,作为一名Linux用户和一名计算机安全官员,在面向互联网的标准配置中启用此类功能似乎是疯狂的。我曾尝试在虚拟机的Vista中重新创建它。双击js文件会导致IE在没有用户提示的情况下下载80.exe。我编辑了hosts文件以转到我的服务器并下载“calc.exe”的副本。但是什么也没发生-它似乎没有运行,而且我在%TEMP%中没有看到它。我可以从你引用的页面中获得在IE中运行的示例——在“可信站点”中将IE安全设置为“低”,并且仍然会得到提示。见我对原问题的评论。“80.exe”发布这些链接时要小心,即使它们不在任何地方today@self,你认为我应该完全删除它们吗?@approxiblue,谢谢,我只删除URL,因为它们不相关,特别是如果被屏蔽的话。谢谢。用户是否需要单击任何内容,或者只是双击zipfile中的“文档”?在我看来,作为一名Linux用户和一名计算机安全官员,在面向互联网的标准配置中启用此类功能似乎是疯狂的。我曾尝试在虚拟机的Vista中重新创建它。双击js文件会导致IE在没有用户提示的情况下下载80.exe。我编辑了hosts文件以转到我的服务器并下载“calc.exe”的副本。但是什么也没发生-它似乎没有运行,而且我在%TEMP%中没有看到它。我可以从你引用的页面中获得在IE中运行的示例——在“可信站点”中将IE安全设置为“低”,并且仍然会得到提示。见我对原问题的评论。“80.exe”我只有部分数据包捕获,所以没有完整的下载。可能是从173.82.74.197I开始的,我只有部分数据包捕获,所以没有完整的下载。我