卡巴杀出很多html代码最后的JS加密文件

显示全部楼层 · 发表于 2016-10-22 10:41:47

今天无意发现卡巴斯基扫出很多html的代码有毒，我查看了下代码。果然在最后面被插入莫名其妙的JS加密代码
请问:
1.这个一般是什么毒引起的？
2.这个加密的JS能不能解密，看是原样的代码是怎么样的

显示全部楼层 · 发表于 2016-10-22 10:49:41

发个报毒截图看看

显示全部楼层 · 发表于 2016-10-22 10:52:26

pal家族发表于 2016-10-22 10:49
发个报毒截图看看

等下。
谢谢兄弟

显示全部楼层 · 发表于 2016-10-22 10:54:47

饭巴拉发表于 2016-10-22 10:52
等下。
谢谢兄弟

没错，可能是勒索敲诈

显示全部楼层 · 发表于 2016-10-22 10:59:19

卡巴还在下载中。360安全卫士杀出来是这样的

显示全部楼层 · 发表于 2016-10-22 19:16:23

传一个样本上来，看看具体啥样子？

显示全部楼层 · 发表于 2016-10-22 19:25:52

这个应该不是加密勒索，普通的js病毒吧

显示全部楼层 · 发表于 2016-10-22 19:33:11

饭巴拉发表于 2016-10-22 10:59
卡巴还在下载中。360安全卫士杀出来是这样的

看着跟srv感染HTML挺像的，应该是变种只感染HTML

显示全部楼层 · 发表于 2016-10-22 22:22:46

本帖最后由 Wesly.Zhang 于 2016-10-22 22:29 编辑

Hello，

WriteData 那个变量里面存放着一个 dropper ，新建一个名为“svchost.exe”的文件，然后把WriteData中包含的一段16进制字符串转为16进制代码并写入文件中，最后执行这个文件。这是一段VBScript脚本。

如果这个代码在浏览器内运行在浏览器内揭秘输出payload。很显然html文件内均包含恶意代码，简称挂马了。

显示全部楼层 · 发表于 2016-10-22 23:11:26

Wesly.Zhang 发表于 2016-10-22 22:22
Hello，

WriteData 那个变量里面存放着一个 dropper ，新建一个名为“svchost.exe”的文件，然后把Write ...

有没有办法杀干净？你不说还好，确实发现久而久之桌面出现payload文件夹

[交流探讨] 卡巴杀出很多html代码最后的JS加密文件

评分