Como não recebi o código -fonte do ASP antes, não ouso analisar o motivo pelo qual posso baixar o arquivo executável remotamente para a área local sem permissão. Recentemente, ouvi dizer que o firewall do vírus levará vírus ao assistir a uma página da web. Agora vamos analisar os vírus HTML.
Depois de uma pequena olhada, descobri que há uma estrutura flutuante implícita nas seguintes linhas do código da página inicial. O URL que referenciou não era local, parecia que deveria ser, então eu usei o flashget novamente e caí. Na verdade, descobri que o espaço onde o vírus foi colocado não suporta ASP, e o arquivo ASP que eu baixei é o arquivo de origem. Depois que esse interesse chegou, baixei todos os documentos relevantes do vírus em algumas etapas.
Como esse vírus é muito simples, eu apenas copiei alguns clipes. Se você está realmente interessado, pode não ter cuidado ao encontrar uma página da web com um vírus. No entanto, não use o IE para lê -lo. Você deve usar o flashget e outras ferramentas de download para fazer o download e, em seguida, abra -o com o bloco de notas. Caso contrário, se você for atingido, não venha até mim. Ok, o texto principal começará.
Existem três arquivos para vírus reais, um é o arquivo de inicialização, um é o arquivo de download e o terceiro é o arquivo de ativação.
O primeiro arquivo de inicialização
A parte principal é:
Esta função é consultar e executar o download e a ativação de dois arquivos como objetos da página. Este também é um ponto -chave para que os arquivos de vírus sejam infectados localmente. No arquivo referenciado, ele pode realmente fazer referência ao componente de ação do cliente sem obstáculos. Oh, isso é essa faca.
O segundo é baixar o arquivo de vírus exe
Em seguida, como baixar o exe sem aparecer na caixa de prompt de download. Esta é uma tarefa para coletar e baixar arquivos.
O método desse vírus é usar o componente Microsoft.xmlHttp e Response.ContentType = "Image/GIF" no lado do servidor para baixar o arquivo de vírus no formato da imagem no cache da Web do cliente (esta é uma operação Get/Binarywrite muito simples, por isso não vou entrar em detalhes).
O terceiro é a ativação
Eu sinto que o processo de ativação é muito inteligente. O vírus primeiro usa o FSO para gerar um arquivo HTA em C:/ e grava o processo de ativação nesse arquivo. Em seguida, use o wscript.shell para executar este arquivo. Dessa forma, não há nenhum problema com operações que exijam grandes permissões durante o processo de ativação (como a gravação de operações de registro).
O processo de operação específico é assim. Mova o arquivo de vírus no diretório do cache da web para o diretório de arquivos do sistema e altere -o para win.exe. Escreva a tecla Auto-iniciante no registro para que o vírus possa iniciar automaticamente após o reinício do sistema e exclua o arquivo HTA para concluir a infecção e a ativação.
Este é o processo de operação básico do vírus (não mencionarei a parte de destruição do vírus de acordo com a Convenção), mas qual é a utilidade disso para nós? Na verdade, eu odeio muito esse vírus, mas ainda existem alguns disponíveis para processos de download e ativação. Por exemplo: o sistema em que você está trabalhando deve baixar alguns componentes e ativá -lo antes que ele possa ser usado. É claro que esse tipo de operação não há problema para quem a entende, mas se você está enfrentando um usuário que não descobriu nada na rede, acho que o sistema explodirá antes de começar a usar seu telefone. Se você emprestar esse método e baixar automaticamente os componentes e ativá -los automaticamente quando a outra parte os permitir, isso economizará muito mais problemas, certo?
No entanto, esse método é muito conveniente para arquivos pequenos. Se você deseja baixar arquivos acima de 1m ... você precisa considerar o download multi-thread. Obviamente, este não é o escopo deste artigo. Falarei sobre como usar asp+xml para implementar upload multi-thread da web e download multi-thread no futuro.
O acima é o conteúdo inteiro deste artigo. Espero que o conteúdo deste artigo seja de ajuda para o seu estudo ou trabalho. Se você tiver alguma dúvida, pode deixar uma mensagem para se comunicar. Obrigado pelo seu apoio do novo canal de tecnologia certo ou errado!