nknskn ネタ置き場

IT使ってなんかやってる人間のたわごと

VBSマルウェア(Stager)のだいぶ細かい話 - VBEの場合の細かくないver

以前の記事(VBSマルウェア(Stager)のだいぶ細かい話)について「vbeにエンコードされてたらどうなるんですか先輩!」とゴーストが囁いたので確認した

参考記事

VBSファイル

  • http_exec.vbs
    • 前と同じ

VBEファイル

動作確認

jquery.jsの中身

Wscript.echo CreateObject("WScript.Network").ComputerName

実行

f:id:news-nknskn:20200905191112p:plain

そのときのメモリ

Process Hacker > cscript > "Memory" tab > Strings, length: 5 > Filter, Contains, localhost

f:id:news-nknskn:20200905191414p:plain

展開されてた

以上