vb清除网页cookie，“txt文档”可以窃取你所有的秘密-资源分析-韩韩H5开发

本篇文章主要讲解关于“txt文档”可以窃取你所有的秘密的话题，和一些vb清除网页cookie相关题，希望帮帮助到各位。

大纲

近日，360安全大脑主防威胁监控检测到邮件钓鱼攻击。此次攻击中使用了一种秘密盗窃木马Poulight，Poulight木马从去年就开始使用，功能齐全且强大，证明该木马在中国也已经开始传播和使用。

攻击流程分析

攻击者首先使用RLO技术投放网络钓鱼文件，这会导致最初名为“ReadMe_txtlnklnk”的网络钓鱼文件在用户计算机上显示为“ReadMe_knltxt”。同时，攻击者将lnk文件的图标设置为记事本图标，这非常容易混淆，因为用户很容易将其误认为是无害的txt文档。

这样，用户以为原来的txt文档被打开了，但实际上，执行了攻击者准备的代码。系统执行powershell命令并根据攻击者定制的“目标”内容下载恶意软件。

分析结果显示，下载的恶意软件采用net编译，内部名称为Poullightexe，开发者并未对代码进行混淆。

代码分析

检测执行环境

下载到本地电脑的putty3exe首先检查当前环境是虚拟机还是病分析环境，如果是则终止，用于对抗一些样本分析沙箱。

通过环境检查后，木马开始创建线程来执行实际的恶意功能模块。

首先，木马加载自身的资源，解码为Base64，最后获取其配置内容。

lt;progparamsgt;YWRtaW4=|MQ==|MA==lt;/progparamsgt;

lt;标题gt;UG91bGlnaHQ=lt;/标题gt;

lt;cpdatagt;MHwwfDEyQ051S2tLSzF4TEZvTTlQNTh6V1hrRUxNeDF5NTF6Nll8MTJDTnVLa0tLMXhMRm9NOVA1OHpXWGtFTE14MXk1MXo2WXwwlt;/cpdatagt;

lt;ulfilegt;aHR0cDovL3J1LXVpZC01MDczNTI5MjAucHAucnUvZXhhbXBsZS5leGU=lt;/ulfilegt;

lt;互斥量gt;PL2d4vFEgVbQddddkms0ZhQiI0Ilt;/互斥量gt;

将该项值转换为小写字母后，在TEMP目录下创建“pl2d4vfegvbqddddkms0zhqii0i”作为文件名，写入的内容为8到32字节的随机值。不过，分析人士表示，这部分代码似乎存在题，或者说我们获得的木马程序仍处于早期测试阶段，似乎无法正常运行。

数据盗窃

除了检测执行环境外，该木马还会记录用户名、计算机名称、系统名称和其他计算机信息，包括安装的防病产品、显卡标签和处理器标签。

将以上数据全部写入文件LocalAppDatalt;8字节随机字符>PC-Informationtxt。如果你看一下反编译的代码，你可以看到该程序使用了大量的俄语描述。

然后木马获取当前活动进程列表并将其写入文件LocalAppData1z9sq09uProcessListtxt。该文件还在特洛伊木马进程名称后标记为“已注入”。

然后，来自先前解码的配置文件的“progparamsgt;”。我们从项目值中获取第三个元素并再次执行Base64解码，如果该值为“1”，则运行ClipperStart函数。该函数解密名为“cpp”的资源，即连接字符串。

lt;clbasegt;0|0|12CNuKkKK1xLFoM9P58zWXkELMx1y51z6Y|12CNuKkKK1xLFoM9P58zWXkELMx1y51z6Y|0lt;/clbasegt;

写入文件TEMPWindowsDefenderexe并运行它。

所有被盗数据都存储在LocalAppData1z9sq09u目录中。

然后将窃取的数据上传到两个远程CC服务器之一。

数据被编码并按顺序上传到服务器。等待远端返回字符串“good”，然后再执行后续代码。否则，每2秒尝试一次上传，直至成功。

上述操作完成后，木下载URL资源hxxp://ru-uid-507352920ppru/exampleexe，并保存为“LocalAppDatalt;8字节随机字符1gt;lt;8字节随机字符2gt;exe”。例如LocalAppDataen0mp4o48ej8q80sexe。

该程序的主要功能是收集有关设备的各种信息，但推测目前仍处于测试阶段，因为它在收集后会删除信息所在的文件夹。

奥委会

dcb4dfc4c91e5af6d6465529fefef26f

083119acb60804c6150d895d133c445a

b874da17a923cf367ebb608b129579e1

hxxp://gflcompk/面板/gatephp

hxxp://poullightru/handlephp

网址

hxxps://iwillcreatemediacom/buildexe

hxxp://ru-uid-507352920ppru/exampleexe

一、网络爬虫软件都有哪些比较知名的？

前20名网络爬虫工具，马克！

网络爬虫广泛应用于各个领域，其目标是从网站获取新数据并将其存储起来以方便访。网络爬行工具变得越来越流行，因为它们简化并自动化了整个爬行过程，使每个人都可以轻松访网络数据资源。1-章鱼

Octoparse是一款功能强大的免费网站爬虫工具，用于从网站中提取所需的各类数据。它有两种学习模式，向导模式和高级模式，因此即使非程序员也可以使用它。几乎所有网站内容都可以下载并以结构化格式保存，例如EXCEL、TXT、HTML或数据库。ScheduledCloudExtraction功能允许您获取网站上的最新信息。提供IP代理服务器，因此您不必担心被攻击性网站检测到。

总的来说，Octoparse应该能够满足您最基本或高级的抓取需求，而无需任何编码技能。

2-CyotekWebCopy

WebCopy是一款免费的网站爬虫工具，可让您将网站的部分或全部内容本地复制到硬盘上以供离线阅读。在将内容下载到硬盘之前，它会扫描指定的网站，并自动重新映射网站上图像和其他Web资源的链接，以匹配其本地路径。还有其他功能，例如下载副本中包含的URL，但不抓取它们。您还可以配置域名、用户代理字符串、默认文档等。

但是，WebCopy不包括虚拟DOM或JavaScript解析。

3-HT轨道

HTTrack是一款网站爬虫免费软件，提供将整个网站从Internet下载到您的PC的理想功能。版本可用于Windows、Linux、SunSolaris和其他Unix系统。您可以镜像一个或多个站点。在“设置选项”中，您可以决定下载网页时可以同时打开多少个连接。可以搜索整个目录中的照片、文件和HTML代码，更新当前镜像的网站并恢复中断的下载。

HTTTrack还提供代理支持以最大限度地提高速度和可选的身份验证。

4-离开

Getleft是一款免费、易于使用的网站抓取工具。启动Getleft后，输入URL，选择要下载的文件，然后开始下载网站。它还提供多语言支持，目前Getleft支持14种语言。但是，它仅提供有限的FTP支持并允许您下载文件，但不能递归下载。

总体而言，Getleft应该可以满足您的基本抓取需求，而不需要更复杂的技能。

5-刮刀

Scraper是一款Chrome扩展程序，数据提取功能有限，但对于在线研究和将数据导出到Google表格非常有用。适合初学者和专家，可以使用OAuth将数据轻松复制到剪贴板或保存到电子表格。虽然它不提供全方位的爬虫服务，但它仍然对初学者友好。

6-OutWitHub

OutWitHub是一个Firefox插件，具有数十种数据提取功能，可简化Web浏览。浏览页面后，提取的信息将以适当的格式保存。您还可以创建自动代理，根据您的设置提取数据并格式化数据。

它是最简单的免费网络爬虫工具之一，让您无需编写任何代码即可方便地提取网页数据。

7-ParseHub

Parsehub是一款优秀的爬虫工具，支持使用AJAX技术、JavaScript、cookie等来获取网页数据。机器学习技术可以读取、分析网络文档并将其转换为相关数据。Parsehub的桌面应用程序支持Windows、MacOSX和Linux等系统，或者您也可以使用浏览器内置的Web应用程序。

8-视觉刮刀