本文探讨了一种利用社会工程学下载加密HTA文件并传播木马的web病毒。通过黄色网站诱导用户下载,HTA文件在Win7系统中以本地应用程序形式运行,绕过权限限制,使用ActiveXObject创建文件夹并写入恶意内容。由于IE访问网页时无法执行相关操作,病毒主要依赖HTA执行,避免使用shellcode,提高了隐蔽性。参考链接提供了更多相关分析。
这两天看到了一种通过黄色网站,通过社会工程学下载严重加密的HTA文件,传播木马的web病毒
(有需要病毒代码的同学可以和我联系)
之前没看过HTA (HTML Application),看了才知道HTA是HTML格式的应用程序,双击后由mshta进程执行,因为在本地执行,所以在win7上不存在权限问题
例如
=====================================================
<script>
//on win7, it can be execute successfully using HTA, but failed if accessing from web server using IE
objFso = new ActiveXObject("Scripting.FileSystemObject");
scr_obj = new ActiveXObject("WScript.Shell");
cpdir = "C:\\ProgramData";
alert(cpdir);
if (!objFso.FolderExists(cpdir+"\\abcdefg"))
objFso.CreateFolder(cpdir+"\\abcdefg");
buf = "abcdefrt";
objFso.CreateTextFile(cpdir+"\\abcdefg\\test.txt", true).Write(buf);
scr_obj.Run('mshta "' + cppath + '"');</script>
=====================================================
在win7上如果通过IE访问web server,是无法成功创建文件test.txt的;但是通过HTA可以成功创建
最低0.47元/天 解锁文章
扫一扫
917
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
