这是一个创建于 2618 天前的主题,其中的信息可能已经有所发展或是发生改变。
婚纱拍摄公司给的 U 盘中有这个脚本,被 微软自带的杀毒软件报
Worm:VBS/Pordeezy.A
原始文件( Microsoft Word.WsF )压缩上传到这个连接
https://pan.baidu.com/s/1geFaQQZ
他们把 U 盘中的文件夹都通过这脚本隐藏了,即使开启了显示隐藏文件,在资源管理库里也看不到文件夹,就只看得到同名的 lnk 快捷方式,然后通过点击该快捷方式打开该目录或文件,但在 CMD 中是看得到的
直接在资源管理器打开对应的目录或文件路径也是可以进入的
目录结构如下:
D:\
-------Microsoft Word.WsF(隐藏属性)
-------AAA.lnk
-------AAA.mp4
-------BBB.lnk
<DIR>BBB
--------------001.jpg
....
--------------101.jpg
-------CCC.lnk
<DIR>CCC
--------------001.jpg
....
--------------200.jpg
P.S. 原本在他们那边看的时候看到是 lnk 就感觉怪怪的,但想说是他们的电脑也就算了,想说回来用 CMD 进去看个究竟先
哪曾想到...妹子回来后直接插电脑就双击了...
Worm:VBS/Pordeezy.A
原始文件( Microsoft Word.WsF )压缩上传到这个连接
https://pan.baidu.com/s/1geFaQQZ
他们把 U 盘中的文件夹都通过这脚本隐藏了,即使开启了显示隐藏文件,在资源管理库里也看不到文件夹,就只看得到同名的 lnk 快捷方式,然后通过点击该快捷方式打开该目录或文件,但在 CMD 中是看得到的
直接在资源管理器打开对应的目录或文件路径也是可以进入的
目录结构如下:
D:\
-------Microsoft Word.WsF(隐藏属性)
-------AAA.lnk
-------AAA.mp4
-------BBB.lnk
<DIR>BBB
--------------001.jpg
....
--------------101.jpg
-------CCC.lnk
<DIR>CCC
--------------001.jpg
....
--------------200.jpg
P.S. 原本在他们那边看的时候看到是 lnk 就感觉怪怪的,但想说是他们的电脑也就算了,想说回来用 CMD 进去看个究竟先
哪曾想到...妹子回来后直接插电脑就双击了...
第 1 条附言 · 2017-03-12 16:53:23 +08:00
通过把 Execute 函数替换成 WScript.Echo 然后用命令行
cscript \\Nologo \SCRIPT\PATH > D:\script.txt
把解密后的脚本输出 这脚本3重加密...解密后看了下,是定期从远程获取命令然后执行的脚本,然而...服务器貌似都挂掉了... 附解密并格式化后的脚本
 |
1
kokutou 2017-03-12 07:51:21 +08:00 via Android
我感觉。。把
FUnction:Execute(HIO( 这个替换成打印或者文件输出,运行下就能解密了 。。。 vbs 很简单的,稍微查一查就能搞懂。 |
 |
2
szlytlyt 2017-03-12 08:45:55 +08:00 via Android
你看看是不是文件属性被加上了系统文件属性,去掉就好了
|
Select Language