警告!这些脚本包含恶意代码,会对系统和数据造成严重破坏,请勿在任何正常使用的系统上运行!本说明仅用于安全研究和代码分析。
通过权限提升、系统进程破坏、注册表修改以及数据删除等手段,对 Windows 系统进行全面破坏,并实现自我传播和持久化。
- 权限提升:利用
mshta和 VBScript 以管理员身份重新运行脚本。 - 进程破坏:创建并执行 PowerShell 脚本,强制结束
svchost.exe进程,导致系统不稳定。 - 资源耗尽:通过自我复制和无限循环,耗尽系统资源。
获取当前用户的启动文件夹路径并打开该文件夹,可能用于后续恶意脚本的植入。- 权限提升:以管理员身份重新运行脚本。
- 注册表破坏:强制删除注册表中
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion下的所有项,破坏系统配置。
- 持久化:在当前用户的启动文件夹创建一个新的 VBScript 脚本。
- 数据删除:新脚本会在系统启动时等待一段时间后,删除指定磁盘分区和用户目录下的所有文件和文件夹,并最终删除自身。
这组脚本的综合危害包括但不限于:
- 系统崩溃:强制结束关键系统进程和耗尽系统资源,导致系统无法正常运行。
- 数据丢失:批量删除磁盘文件和文件夹,造成数据永久性丢失。
- 系统配置破坏:删除注册表关键项,破坏系统启动和运行配置。
- 持久化攻击:通过将恶意脚本添加到启动文件夹,实现持久化攻击,每次系统启动都会重复破坏行为。
- 避免运行:切勿在任何正常使用的系统上运行这些脚本。
- 安全监控:安装并启用实时监控的杀毒软件和防火墙 54E5 ,防止恶意脚本的执行和传播。
- 定期备份:定期备份重要数据,以便在遭受攻击时能够恢复数据。
- 权限管理:严格控制用户权限,避免不必要的管理员权限授予。
- 注册表备份:定期备份注册表,以便在注册表被破坏时能够恢复。
本 README 仅用于安全研究和教育目的,任何未经授权在他人系统上运行这些脚本的行为均属于违法行为。请遵守相关法律法规,合法使用技术知识。