网站首页被加入<iframe>代码,引入网页 he1p.html。
he1p.html 的内容为填入多余空格的VBScript脚本代码,分为两个部分。
第1部分
功能为:利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 01.exe,保存为C:/windows/gz.exe。
01.exe 采用 nSPack 1.3 -> North Star/Liu Xing Ping 加壳。
/-------
第2部分:
使用execute方法执行自定义函数 rechange() 加密的代码:
/-------
MircoLonge.ShellExecute MircoLong10,BBS,BBS,"open",0
-------/
估计是用来绕过瑞星卡卡的~
![[网络安全]AntSword(蚁剑)实战解题详析(入门)](https://ucc.alicdn.com/pic/developer-ecology/c2fo6hak5a22e_6a9c6c7fd5234d7ebad12a425931bb6e.png?x-oss-process=image/format,webp/resize,h_160,m_lfit)