|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。; s$ L) f& }: b' z
. h' W! J! l1 [3 S! ~
于是又解压出来一个。查看是什么语言写的。
* a# K2 w1 v3 {$ J& L Y* L
8 s& _ C( U( W* {
/ c. l& F: \( Q; |- a7 \9 |Nullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。# a. h' p3 i4 E0 z! Z0 w; m
0 v) V( k) f# p
网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。9 \# y6 U! {$ e/ Y7 I6 N; N2 l
( D& s* v7 I9 r b先用OD和记事本看看里面代码和字符串。
0 g% f+ h8 ]7 ?! @$ G# @
5 h+ u- W6 N& A
1 d) z( ` l. w* r1 ~9 m: {" C比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。
; t" K& H" e/ u F5 ]$ J6 i' _& u4 F7 V" F0 u1 i6 O
进一步的监控:
/ U; u# O8 d; I% `. v# m
; P5 G1 F- k! D- t9 L- B! k( N5 D1 ?( Q. u" ]& v) v
; S! J9 j; R, y
发现了该进程创建历史记录,病毒在运行期间一共做了三件事。
- k7 S) I7 i% |' f; f5 ^- Z1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
- C" }* c# x0 {& \+ d- Q3 F3 P1 {1 y
: v" F7 K/ v7 p6 |' ?. g' w& d5 Y. ?' o: h/ ~/ e9 q4 `% G
2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。* n( u* z6 d; z% k: j. y& ]$ g
: O; ^8 d. p# d" m1 Z3. 擦屁股:创建一个bat文件,删除病毒文件。
( I& v$ L: d% x' c: f/ o' x+ j" l+ k& D+ c! ?
1 Y1 f3 A3 M& [/ O+ A2 W
好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。
7 ^* R$ z8 g5 K! M* ^4 I. T$ ~' r提两个建议:
+ ~% @* K1 x5 O& ]1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。4 k( f0 n2 l# N: w( Z: j4 U1 g' y; r9 i
2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。$ A8 s+ _. w. A! q! _
9 T+ d8 L4 l. m1 q
$ [. ]. n% z% |8 z! V' v( d
2 {4 \! U. {: y d
4 b- M0 C) |" Y! ^9 x; F4 A& ~' S9 p& z8 {$ ^# F( r/ @* X& j
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
【新手看老鸟闪】西数模块定义直观图
希捷硬盘固件更新工具 支持SAS/SATA 64位
真正希捷F3批量维修程序 同时操作6个盘 可
ST语心定制希捷专修-小改版,改掉几处错误
硬盘坏道维修色块全去! 希捷F3去色块又一
希捷硬盘砍头演示(非指令)--基地首发
wdmarvel 汉化版 2.2 2.3
STC 原注册版本现免费 终结版 原200人民币
西数2.5寸硬盘的问题,求答案
f3 repair Tools V5.5盲目乱操作硬盘不识别