|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。
: `$ C9 U* h+ d, @: H9 K- F! V( g E* h. T( H# f& @: L
于是又解压出来一个。查看是什么语言写的。
0 L F. z+ j2 }' v$ V
9 p& c, I3 e" D: D& Z
3 {, [1 E$ a# `Nullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。
) l( ?) C- ?) s. A9 [5 ~
' g! I M1 A. A, G网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。
$ H8 g7 K8 E9 \8 O: u& ]8 X9 D. \) T ]9 K2 y/ f6 X9 H
先用OD和记事本看看里面代码和字符串。$ X, q7 L- u% Y, w
+ d5 a% }, O6 U. C
% H0 Q% e% q# ~8 W比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。6 W k% L% {- S' T/ D( ?& H, b6 |
* u* L; G' ]) `: b
进一步的监控:* @$ b5 {- g# d& Y0 k
8 f% H9 h# n8 Z* j* v( @9 p$ v
6 z D+ W4 O/ b1 A
D' }4 {1 d; w* i5 [, a
发现了该进程创建历史记录,病毒在运行期间一共做了三件事。$ J. u( y. x z* [) { ?
1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
6 q+ u4 z2 {* Y( Z' n; @% q A6 T2 W
8 I9 P3 b0 j' Z
; c4 i- Y& A9 T+ y2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。
2 C1 [, \; {, ]3 S! q9 o
* t/ J" l7 I+ x1 b! G+ i) W! O! b! Y
3. 擦屁股:创建一个bat文件,删除病毒文件。
" Q6 D6 V h+ A) d; b Q% I$ d
' l# x, N4 V/ ^% Y
) u' u) e9 R6 [% ^+ U" _好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。5 o: m! w- W5 s; o N, i$ X
提两个建议:, z a- D. Z* h! j% V- }2 m+ m
1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。, G, b: D5 B( L \* v
2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。' N8 U3 f T9 b# ~' }. x" v m
7 ]5 F. ? U) \. t/ B+ p" w
* y* v* n- P7 C
, l( L" B% `/ y
: i6 N4 T- ?, j/ k: ?- f6 k( r: R
& D; M0 x: Q9 g4 p2 u( @9 C5 Z |
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
" I* a! b7 N- }; e9 H" Z, C9 \1 ]. c
硬盘坏道维修色块全去! 希捷F3去色块又一
Easy Tools SM2258XT固态硬盘工具 数据恢复
硬盘维修工具合集
WD改型号清时间软件价值500元
希捷硬盘固件更新工具 支持SAS/SATA 64位
请教各位大佬
老吴WD专修视频教程
STC 原注册版本现免费 终结版 原200人民币
1672 Mariner5 通刷超级固件
西部数据硬盘各ROM模块及01模块主要字节含