เนื่องจากฉันไม่ได้มีซอร์สโค้ดของ ASP มาก่อนฉันไม่กล้าวิเคราะห์เหตุผลว่าทำไมฉันจึงสามารถดาวน์โหลดไฟล์ปฏิบัติการได้จากระยะไกลไปยังพื้นที่โดยไม่ได้รับอนุญาต เมื่อเร็ว ๆ นี้ฉันได้ยินมาว่าไฟร์วอลล์ไวรัสจะกระตุ้นให้เกิดไวรัสเมื่อดูหน้าเว็บ ตอนนี้มาวิเคราะห์ไวรัส HTML
หลังจากดูเล็กน้อยฉันพบว่ามีกรอบลอยโดยนัยในบรรทัดต่อไปนี้ของรหัสโฮมเพจ URL ที่อ้างอิงไม่ใช่ท้องถิ่นรู้สึกว่ามันควรจะเป็นดังนั้นฉันจึงใช้ Flashget อีกครั้งและลงไป จริง ๆ แล้วฉันพบว่าพื้นที่ที่มีการวางไวรัสไม่รองรับ ASP และไฟล์ ASP ที่ฉันดาวน์โหลดคือไฟล์ต้นฉบับ หลังจากความสนใจนี้มาฉันดาวน์โหลดเอกสารที่เกี่ยวข้องทั้งหมดของไวรัสผ่านไม่กี่ขั้นตอน
เนื่องจากไวรัสนี้ง่ายมากฉันจึงคัดลอกคลิปบางส่วนเท่านั้น หากคุณสนใจจริงๆคุณอาจไม่ระวังที่จะหาเว็บเพจที่มีไวรัส อย่างไรก็ตามอย่าใช้ IE เพื่ออ่าน คุณควรใช้ Flashget และเครื่องมือดาวน์โหลดอื่น ๆ ในการดาวน์โหลดแล้วเปิดด้วย Notepad มิฉะนั้นถ้าคุณถูกตีอย่ามาหาฉัน ตกลงข้อความหลักจะเริ่มขึ้น
มีสามไฟล์สำหรับไวรัสจริงหนึ่งไฟล์คือไฟล์บูตหนึ่งไฟล์คือไฟล์ดาวน์โหลดและไฟล์ที่สามคือไฟล์เปิดใช้งาน
ไฟล์บูตตัวแรก
ส่วนสำคัญคือ:
ฟังก์ชั่นนี้คือการอ้างถึงและเรียกใช้การดาวน์โหลดและเปิดใช้งานสองไฟล์เป็นวัตถุของหน้า นี่เป็นจุดสำคัญสำหรับไฟล์ไวรัสที่จะติดเชื้อในเครื่อง ในไฟล์อ้างอิงสามารถอ้างอิงองค์ประกอบการกระทำของลูกค้าได้โดยไม่มีอุปสรรคใด ๆ โอ้นี่คือมีดนั้น
ประการที่สองคือการดาวน์โหลดไฟล์ไวรัส exe
จากนั้นวิธีดาวน์โหลด exe โดยไม่ต้องเปิดกล่องพรอมต์ดาวน์โหลด นี่เป็นงานรวบรวมและดาวน์โหลดไฟล์
วิธีการของไวรัสนี้คือการใช้ส่วนประกอบ microsoft.xmlhttt และ response.contentType = "image/gif" ทางฝั่งเซิร์ฟเวอร์เพื่อดาวน์โหลดไฟล์ไวรัสในรูปแบบรูปภาพไปยังแคชเว็บของลูกค้า
ที่สามคือการเปิดใช้งาน
ฉันรู้สึกว่ากระบวนการเปิดใช้งานนั้นฉลาดมาก ไวรัสใช้ FSO เป็นครั้งแรกเพื่อสร้างไฟล์ HTA ภายใต้ C:/ และเขียนกระบวนการเปิดใช้งานลงในไฟล์นี้ จากนั้นใช้ wscript.shell เพื่อเรียกใช้ไฟล์นี้ ด้วยวิธีนี้ไม่มีปัญหากับการดำเนินงานที่ต้องใช้สิทธิ์จำนวนมากในระหว่างกระบวนการเปิดใช้งาน (เช่นการเขียนรีจิสทรีการเขียน)
กระบวนการดำเนินการที่เฉพาะเจาะจงเป็นเช่นนี้ ย้ายไฟล์ไวรัสในไดเรกทอรีเว็บแคชไปยังไดเรกทอรีไฟล์ระบบและเปลี่ยนเป็น win.exe เขียนคีย์เริ่มต้นด้วยตนเองลงในรีจิสทรีเพื่อให้ไวรัสสามารถเริ่มต้นใหม่หลังจากระบบรีสตาร์ทโดยอัตโนมัติจากนั้นลบไฟล์ HTA เพื่อทำให้การติดเชื้อและการเปิดใช้งานเสร็จสมบูรณ์
นี่คือกระบวนการดำเนินการพื้นฐานของไวรัส (ฉันจะไม่พูดถึงส่วนการทำลายไวรัสตามอนุสัญญา) แต่การใช้สิ่งนี้กับเราคืออะไร? ในความเป็นจริงฉันเกลียดไวรัสนี้มาก แต่ยังมีบางอย่างสำหรับการดาวน์โหลดและกระบวนการเปิดใช้งาน ตัวอย่างเช่น: ระบบที่คุณกำลังทำงานต้องดาวน์โหลดส่วนประกอบบางส่วนและเปิดใช้งานก่อนที่จะใช้งานได้ การดำเนินการแบบนี้แน่นอนว่าไม่มีปัญหาสำหรับผู้ที่เข้าใจ แต่ถ้าคุณเผชิญหน้ากับผู้ใช้ที่ไม่ได้คิดอะไรในเครือข่ายฉันเดาว่าระบบจะระเบิดก่อนที่จะเริ่มใช้โทรศัพท์ของคุณ หากคุณยืมวิธีนี้และดาวน์โหลดส่วนประกอบโดยอัตโนมัติและเปิดใช้งานโดยอัตโนมัติเมื่อฝ่ายอื่นอนุญาตให้พวกเขาจะช่วยให้คุณมีปัญหามากขึ้นใช่ไหม?
อย่างไรก็ตามวิธีนี้สะดวกมากสำหรับไฟล์รูปขนาดเล็ก หากคุณต้องการดาวน์โหลดไฟล์ด้านบน 1M ... คุณต้องพิจารณาการดาวน์โหลดแบบหลายเธรด แน่นอนว่านี่ไม่ใช่ขอบเขตของบทความนี้ ฉันจะพูดคุยเกี่ยวกับวิธีการใช้ ASP+XML เพื่อใช้การอัปโหลดเว็บมัลติเธรดแบบมัลติเธรดและดาวน์โหลดแบบมัลติเธรดในอนาคต
ข้างต้นเป็นเนื้อหาทั้งหมดของบทความนี้ ฉันหวังว่าเนื้อหาของบทความนี้จะช่วยในการศึกษาหรือทำงานของคุณ หากคุณมีคำถามใด ๆ คุณสามารถฝากข้อความไว้เพื่อสื่อสาร ขอบคุณสำหรับการสนับสนุนจากช่องเทคโนโลยีใหม่ที่ถูกหรือผิด!