瑞星卡卡安全论坛

网址：hxxp://163.fm/QHFLNVR

直接访问该网址，经过层层跳转后最终访问到网址：hxxp://www.360qq.com.nzt.cc/register.php




点击我要免费Q币出现输入QQ账号和密码，下图所示：



此时查看register.php源代码，主要看登录部分，代码如下：
<button class="submit" id="registerformsubmit" type="submit"  style="width:80px;height:25px" name="regsubmit" value="true" tabindex="1"  href="#"> 登 录 </button>/*点击登录有设置ie首页为: http://9258.cc/登录并免费领取Q币.hta */

Ok,测试一下，随便输入qq账号和密码，这里输入qq号：123456789，密码为：xxxyou点击登录



出现是否将hxxp://9258.cc/登录并免费领取Q币.hta为主页



用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)

为进一步测试，点击是，此时ie主页设置被为：http://9258.cc/登录并免费领取Q币.hta

打开一个新的ie会提示下载登录免费领取Q币.hta





点保存下载这个hta文件，瑞星杀毒软件报毒。




接着分析一下这个hta文件，使用EditPlus打开登录并免费领取Q币.HTA,

发现有个加密的vbs脚本，由于代码过长这里就不贴出了。解密一下这个vbs，将execute修改为wscript.echo,execute是执行意思，我们不要让脚本执行，只是解密输出源代码即可。由于代码过长，如将execute改为msgbox会出现截断现象，此和网马解密中，如代将document.write改为alert一样。还需要将代码整理一下，只保留<script language=vbs>和window.close之间代码，其余要全部删除，保存为vbs。否则无法正常解密。不废话了，看解密结果。





由于代码过长，贴几段吧。就不多解释了，代码中都有注释，你懂的。

名词解释：HTA是HTML应用程序（HTML Application）的缩写，可以使用html中的绝大多数标签、脚本等。直接将HTML保存成HTA的格式，就是一个能够独立运行的应用软件。

与普通HTML网页相比，它多了个<HTA:APPLICATION>标签，其实就是这个标签提供了一系列面向应用程序的功能。最重要的是：它能够让你访问客户的机器，而不用担心安全的限制。

  运行后缀名为hta的文件,此时会调用%SystemRoot%\system32\mshta.exe(HTML Application host)执行

前排围观......
这个VBS真好, 注释太全了:kaka6:

“发现有个加密的vbs脚本，由于代码过长这里就不贴出了。解密一下这个vbs，将execute修改为wscript.echo,execute是执行意思，我们不要让脚本执行，只是解密输出源代码即可。由于代码过长，如将execute改为msgbox会出现截断现象”
有两个小问题：
1.wscript.echo 是什么意思
2.msgbox又代表什么意思呢
望解答

Echo 方法
请参阅
运行脚本 | WScript 对象
将文本输出到消息框中或命令控制台窗口。

object.Echo [Arg1] [,Arg2] [,Arg3] ...
参数
object
WScript 对象。
Arg1、Arg2、Arg3 ...
可选。表示要显示的项的列表的字符串值。
说明
Echo 方法的运行方式取决于使用的 WSH 引擎。

WSH 引擎 文本输出
Wscript.exe 图形消息框
Cscript.exe 命令控制台窗口

显示的各项之间用空白字符隔开。如果使用 CScript.exe，则各项之间用换行符隔开。如果未向 Echo 方法提供任何作为参数的项，则输出一个空行。

MsgBox 函数
请参阅
InputBox 函数
要求
版本 1
在对话框中显示消息，等待用户单击按钮，并返回一个值指示用户单击的按钮。

MsgBox(prompt[, buttons][, title][, helpfile, context])
参数
prompt
作为消息显示在对话框中的字符串表达式。prompt 的最大长度大约是 1024 个字符，这取决于所使用的字符的宽度。如果 prompt 中包含多个行，则可在各行之间用回车符 (Chr(13))、换行符 (Chr(10)) 或回车换行符的组合 (Chr(13) & Chr(10)) 分隔各行。
Buttons
数值表达式，是表示指定显示按钮的数目和类型、使用的图标样式，默认按钮的标识以及消息框样式的数值的总和。有关数值，请参阅“设置”部分。如果省略，则 buttons 的默认值为 0。
Title
显示在对话框标题栏中的字符串表达式。如果省略 title，则将应用程序的名称显示在标题栏中。
Helpfile
字符串表达式，用于标识为对话框提供上下文相关帮助的帮助文件。如果已提供 helpfile，则必须提供 context。在 16 位系统平台上不可用。
Context
数值表达式，用于标识由帮助文件的作者指定给某个帮助主题的上下文编号。如果已提供 context，则必须提供 helpfile。在 16 位系统平台上不可用。

脚本病毒 HTA 以前不知道html还有application 嘿嘿。
攻和防一直都是对立的，一直都在进步，技术的更新，会有很多地方会被挖掘出来~欣喜~