这不是病毒,你把runphoto.vbs稍微改下你就知道了~~
runphoto.vbs调用了批处理
主要看批处理
批处理德内容都是围绕几个文件进行操作,可看这还不足以判断为病毒程序,需要楼主提供批处理指定的文件进行分析才能确定。 这个的确应该去吾爱破解论坛
RE: 发现木马一枚,求大神分析……
本帖最后由 1535239329 于 2016-7-30 08:13 编辑昊情· 发表于 2016-7-29 21:26
这不是病毒,你把runphoto.vbs稍微改下你就知道了~~
runphoto.vbs调用了批处理
谢谢大神了,那个……东西已经删除了。因为是刚买的电脑,一提示有病毒吓了一跳,提示要调用cmd,一下想到了黑客控制肉鸡,蒙了。电脑是宏基的,文件也在宏基软件的文件夹里,还一度误解了宏基……谢谢昊情大神了。
Re: 发现木马一枚,求大神分析……
看到你的帖子了,这种突然弹窗拦截的情况确实挺吓人的。从路径和文件名来看,`7zS7261.tmp` 很可能是某个压缩包释放的临时文件,`runPhoto.vbs` 这种名字很容易让人误以为是图片相关,其实是典型的伪装手段。 既然管家已经拦截并杀掉了,说明它的行为特征比较明显(比如试图调用 cmd.exe 执行命令)。木马这类脚本通常会利用系统自带工具下载其他恶意文件、添加启动项或者窃取信息。 可惜你没把样本挂出来(可能已经被杀了),不然用文本编辑器打开那个 .vbs 文件,看看里面的代码就能大致明白它的意图。一般会看到 `CreateObject("WScript.Shell")` 之类的对象调用,然后就是拼接命令行下载远程 payload 或者执行 powershell 指令。 如果不是特别急用,可以考虑去火绒或卡饭论坛的样本区发一下,那边分析的人比较多。自己如果想初步看,也可以在虚拟机里用 Process Monitor 跟踪一下它的行为。安全第一,别在实机直接运行。
页:
1
[2]