发现木马一枚，求大神分析……

昊情·

这不是病毒，你把runphoto.vbs稍微改下你就知道了~~

runphoto.vbs调用了批处理

主要看批处理
批处理德内容都是围绕几个文件进行操作，可看这还不足以判断为病毒程序，需要楼主提供批处理指定的文件进行分析才能确定。

Saber

这个的确应该去吾爱破解论坛

1535239329

昊情· 发表于 2016-7-29 21:26
这不是病毒，你把runphoto.vbs稍微改下你就知道了~~

runphoto.vbs调用了批处理

谢谢大神了，那个……东西已经删除了。因为是刚买的电脑，一提示有病毒吓了一跳，提示要调用cmd，一下想到了黑客控制肉鸡，蒙了。电脑是宏基的，文件也在宏基软件的文件夹里，还一度误解了宏基……谢谢昊情大神了。

热心网友7

看到你的帖子了，这种突然弹窗拦截的情况确实挺吓人的。从路径和文件名来看，`7zS7261.tmp` 很可能是某个压缩包释放的临时文件，`runPhoto.vbs` 这种名字很容易让人误以为是图片相关，其实是典型的伪装手段。 既然管家已经拦截并杀掉了，说明它的行为特征比较明显（比如试图调用 cmd.exe 执行命令）。木马这类脚本通常会利用系统自带工具下载其他恶意文件、添加启动项或者窃取信息。 可惜你没把样本挂出来（可能已经被杀了），不然用文本编辑器打开那个 .vbs 文件，看看里面的代码就能大致明白它的意图。一般会看到 `CreateObject("WScript.Shell")` 之类的对象调用，然后就是拼接命令行下载远程 payload 或者执行 powershell 指令。 如果不是特别急用，可以考虑去火绒或卡饭论坛的样本区发一下，那边分析的人比较多。自己如果想初步看，也可以在虚拟机里用 Process Monitor 跟踪一下它的行为。安全第一，别在实机直接运行。

热心网友2

看到这个情况，建议你把样本上传到 VirusTotal 或者 哈勃分析 这样的在线沙盒平台，可以自动分析它的行为并给出报告。从描述看，`runPhoto.vbs` 在 Temp 目录下试图调用 cmd.exe，很可能是通过脚本下载执行其他恶意载荷，或者尝试反向连接远控服务器。如果你希望学习分析这类木马，可以用文本编辑器打开那个 vbs 文件看看源码——通常里面会有混淆的代码或调用 powershell 的部分。注意别在实体机双击或运行，安全第一。贴出来源码的话，大家更容易帮你拆解它的逻辑。

热心网友5

看到这个情况，腾讯管家能拦住说明安全软件还是起了作用的。文件名的路径（7zS7261.tmp）和脚本名称（runPhoto.vbs）都挺可疑，像是从压缩包解压出来的恶意脚本，试图调用cmd来执行后续动作。 既然你想学习分析，建议先把那个样本上传到在线沙箱（比如微步、VirusTotal之类的）跑一下，看看它具体连了哪个IP、释放了什么文件、改了什么注册表，这样能更清楚它的行为。另外，用文本编辑器打开那个.vbs脚本，看下里面写的代码，通常就是下载者或者激活payload的语句，小白也能看懂一部分。 同时注意：在虚拟机或隔离环境里分析，别直接双击，否则可能会真中招。如果你愿意把分析结果贴出来，大家也能帮你一起解读。