이전에 ASP의 소스 코드를 얻지 못했기 때문에 허가없이 실행 파일을 원격 영역으로 원격으로 다운로드 할 수있는 이유를 분석하지 않습니다. 최근에 바이러스 방화벽이 웹 페이지를 볼 때 바이러스를 자극 할 것이라고 들었습니다. 이제 HTML 바이러스를 분석하겠습니다.
조금 살펴본 후, 나는 홈페이지 코드의 다음 줄에 암시적인 부동 프레임이 있음을 발견했습니다. 언급 한 URL은 로컬이 아니었고, 그럴 것 같은 느낌이 들었으므로 다시 Flashget을 사용하여 내려갔습니다. 실제로 바이러스가 배치 된 공간이 ASP를 지원하지 않으며 다운로드 한 ASP 파일은 소스 파일입니다. 이 관심사가 나면 몇 단계를 통해 바이러스의 모든 관련 문서를 다운로드했습니다.
이 바이러스는 매우 간단하기 때문에 일부 클립 만 복사했습니다. 정말로 관심이 있다면 바이러스가있는 웹 페이지를 찾는 데주의를 기울이지 않을 수 있습니다. 그러나 IE를 사용하여 읽지 마십시오. FlashGet 및 기타 다운로드 도구를 사용하여 다운로드 한 다음 메모장으로 열어야합니다. 그렇지 않으면, 당신이 맞으면 나에게 오지 마십시오. 자, 메인 텍스트가 시작됩니다.
실제 바이러스에는 세 가지 파일이 있습니다. 하나는 부팅 파일, 하나는 다운로드 파일, 세 번째는 활성화 파일입니다.
첫 번째 부팅 파일
핵심 부분은 다음과 같습니다.
이 기능은 두 파일의 다운로드 및 활성화를 페이지의 객체로 참조하고 실행하는 것입니다. 이것은 또한 바이러스 파일이 현지에서 감염 될 수있는 핵심 요점입니다. 참조 파일에서는 실제로 클라이언트의 조치 구성 요소를 장애물없이 참조 할 수 있습니다. 오,이 칼입니다.
두 번째는 EXE 바이러스 파일을 다운로드하는 것입니다
그런 다음 다운로드 프롬프트 상자를 팝업하지 않고 EXE를 다운로드하는 방법. 이것은 파일을 수집하고 다운로드하는 작업입니다.
이 바이러스의 방법은 서버 측에서 Microsoft.xmlhttp 구성 요소 및 응답을 사용하여 클라이언트의 웹 캐시에 이미지 형식의 바이러스 파일을 다운로드하기 위해 서버 측에서 "Image/Gif"를 사용하는 것입니다 (이것은 매우 간단한 Get/BinaryWrite 작업이므로 세부 사항으로 이동하지 않습니다).
세 번째는 활성화입니다
활성화 과정이 매우 영리하다고 생각합니다. 바이러스는 먼저 FSO를 사용하여 C :/에 따라 HTA 파일을 생성하고 활성화 프로세스를이 파일에 씁니다. 그런 다음 wscript.shell을 사용 하여이 파일을 실행하십시오. 이러한 방식으로 활성화 프로세스 중에 큰 권한이 필요한 작업 (예 : 레지스트리 운영 작성)에는 문제가 없습니다.
특정 작동 프로세스는 다음과 같습니다. 웹 캐시 디렉토리의 바이러스 파일을 시스템 파일 디렉토리로 이동하고 Win.exe로 변경하십시오. 시스템이 다시 시작된 후에 바이러스가 자동으로 시작될 수 있도록 자체 시작 키를 레지스트리에 기록한 다음 HTA 파일을 삭제하여 감염 및 활성화를 완료하십시오.
이것은 바이러스의 기본 작동 과정입니다 (컨벤션에 따른 바이러스 파괴 부분은 언급하지 않겠습니다). 그러나 우리에게 이것의 사용은 무엇입니까? 사실, 나는이 바이러스를 매우 싫어하지만 여전히 다운로드 및 활성화 프로세스에 사용할 수 있습니다. 예를 들어, 작업중인 시스템은 일부 구성 요소를 다운로드하여 사용하기 전에 활성화해야합니다. 이런 종류의 작동은 물론 그것을 이해하는 사람들에게는 아무런 문제가 없지만 네트워크에서 아무것도 알아 내지 않은 사용자를 대면하면 전화를 사용하기 전에 시스템이 폭발 할 것 같습니다. 이 방법을 빌리고 다른 당사자가 허용 할 때 구성 요소를 자동으로 다운로드하고 자동으로 활성화하면 더 많은 문제를 절약 할 수 있습니다.
그러나이 방법은 작은 모양의 파일에 매우 편리합니다. 1m 이상의 파일을 다운로드하려면 다중 스레드 다운로드를 고려해야합니다. 물론 이것은이 기사의 범위가 아닙니다. ASP+XML을 사용하여 앞으로 웹 멀티 스레드 업로드 및 멀티 스레드 다운로드를 구현하는 방법에 대해 이야기하겠습니다.
위는이 기사의 전체 내용입니다. 이 기사의 내용이 귀하의 연구 나 업무에 도움이되기를 바랍니다. 궁금한 점이 있으면 의사 소통을 위해 메시지를 남길 수 있습니다. 새로운 기술 채널의 지원에 감사드립니다.