恶意脚本，VT首传11

显示全部楼层 · 发表于 2025-12-12 21:35:30

Sophos:kill

显示全部楼层 · 发表于 2025-12-13 22:27:41

显示全部楼层 · 发表于 2025-12-13 23:56:05

腾讯电脑管家 1X

显示全部楼层 · 发表于 2025-12-14 12:17:22

## 分析结果：[22222.js](cci:7://file:///d:/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/22222.js:0:0-0:0)

这是一个**高度混淆的恶意 HTA (HTML Application) 文件**，伪装成 JavaScript。

### 主要行为

| 特征 | 说明 |
|------|------|
| **文件类型** | HTA (第1行 `<!DOCTYPE html>`，第6行生成 `<HTA:APPLICATION>` 标签) |
| **窗口隐藏** | `WINDOWSTATE='minimized'`, `WIDTH='0'`, `HEIGHT='0'` - 最小化隐藏窗口 |
| **混淆技术** | 多层 XOR 编码、数组索引解码、控制流扁平化 (switch-case) |

### 关键恶意功能

1. **ActiveX 对象创建** (第539、577、641行等)
- `Scripting.FileSystemObject` - 文件系统操作
- `MSXML2.XMLHTTP` - 网络请求
- `WScript.Shell` - 执行命令
- `ADODB.Stream` - 二进制文件写入

2. **文件下载与执行**
- [getByCache()](cci:1://file:///d:/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/22222.js:695:0-880:1) 函数：从远程服务器下载文件
- [saveClientDatabase()](cci:1://file:///d:/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/22222.js:931:0-993:1) 函数：保存并执行下载的文件
- 多种下载方式（XMLHTTP、PowerShell、certutil 等）

3. **信息收集** (第1466-1534行)
- [canUser()](cci:1://file:///d:/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/22222.js:1465:0-1498:1) - 获取用户信息
- [registerModule()](cci:1://file:///d:/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/22222.js:1499:0-1570:1) - 收集系统信息
- [setEachQueue()](cci:1://file:///d:/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/22222.js:1201:0-1258:1) - 检测安全软件
- [doTimerBuffer()](cci:1://file:///d:/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/22222.js:1266:0-1291:1) - 检测分析工具

4. **C2 通信**
- [saveError()](cci:1://file:///d:/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/22222.js:1292:0-1360:1) 函数：向服务器发送收集的数据
- [addList()](cci:1://file:///d:/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/22222.js:1361:0-1400:1), [decodeAsyncError()](cci:1://file:///d:/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/22222.js:1401:0-1432:1) - 与 C&C 服务器交互
- 数据使用 XOR + Base64 加密传输

5. **持久化与执行**
- [connectBooleanError()](cci:1://file:///d:/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/22222.js:531:0-551:1) 函数：创建快捷方式 (LNK)
- [stopSetNumber()](cci:1://file:///d:/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/%E6%96%B0%E5%BB%BA%E6%96%87%E4%BB%B6%E5%A4%B9/22222.js:646:0-694:1) 函数：注册表操作

### 总结

这是一个**下载器木马 (Downloader Trojan)**，主要功能：
1. 隐藏运行
2. 收集系统/用户信息
3. 从 C2 服务器下载恶意载荷
4. 执行下载的文件
5. 规避检测（检测杀软和分析工具）

[病毒样本] 恶意脚本，VT首传11

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源