5

Вчера вечером мне позвонил мой друг, который пожаловался на то, что он каким-то образом сильно испортил Firefox. Каждый раз, когда он нажимал на значок на рабочем столе, появлялось следующее сообщение об ошибке:

сообщение об ошибке

Когда до меня дошло, что означало сообщение об ошибке, я объяснил ему, что это всего лишь вариант очень старой шутки, и, учитывая, что он работает в средней школе, вероятно, не займет много времени, чтобы понять, кто несет за это ответственность.

Я попросил его щелкнуть правой кнопкой мыши по ярлыку и посмотреть на цель, предполагая, что это будет VBS. К моему удивлению это фактически указывало на правильный исполняемый файл.

Что еще хуже, оказалось, что многие из его программ возвращали ту же ошибку, а не только Firefox. Он быстро восстановил систему, но безрезультатно, и, перебрав копию его реестра, я ничего не обнаружил, даже удаленно. Я выяснил, что виновник на самом деле является VBS, потому что диспетчер задач показывает, что сообщение создается программой «wscript.exe».

Итак, мой вопрос: как кто-то перенаправляет большое количество исполняемых файлов в Windows 7 Professional на хост wscript, не внося никаких изменений в реестр или параметры политики? Это также должен быть довольно быстрый процесс, поскольку ноутбук редко оставляют без присмотра.

(и если вы не выяснили, насколько эта ошибка нечестна, посмотрите на заглавные буквы)

Обновить

Хорошо, если кому-то интересно, вот как это было сделано:

  1. Они открыли блокнот и набрали:

    x=msgbox("Fault, User Class KY: Operation Unsupported", 2+16, "Error")

  2. Они сохранили файл как что-то. VBS

  3. Еще в блокноте они удалили предыдущую строку и набрали 

    @echo off
:start
something
GOTO start

  4. Затем они сохранили его как somethingelse.bat и использовали простой скрипт на python для добавления мусора в файл, чтобы его размер соответствовал предполагаемому целевому назначению.

  5. Затем они скомпилировали пакет, созданный на шаге 4, в исполняемый файл, дали ему то же имя, информацию и значок, что и у цели, а затем переместили его в соответствующую папку после перемещения оригинала в корзину.

К счастью, они, по крайней мере, имели приличие, чтобы не опустошать мусор (который, между прочим, все еще содержал свой скрипт на python), так что в конце концов это было довольно легко исправить.

|источник

1 ответ1

2

(Я знаю, что это связано с реестром, но ...) они могли изменить параметры Image File Execution Options для обычных исполняемых файлов. Смотрите здесь пример замены notepad.exe на notepad2.exe .

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .