|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。
7 Y- m! j U, x) G! b6 E- Q+ F7 i6 u% ]8 [' p! k( U% y
于是又解压出来一个。查看是什么语言写的。4 D! A* ]# s8 ? W W+ [% \. |
) O" r L" F, b6 o. G
" A7 D- ~! i# p" k; mNullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。1 }" q( n+ g4 d. O6 a; p
% _% k! L+ |$ _+ v7 F$ j% r( ?* A
网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。/ q. _4 g/ M7 r+ X$ {
( K' X& T# e; b. ~- F: C先用OD和记事本看看里面代码和字符串。! ?! u# S; |$ D9 |- Q: [
9 ^( t6 m$ r C; {7 h; r: `2 D% n# r* O* f ]9 K% K- w) h* g
比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。
/ G$ j* n' {5 r- r. i! G2 y2 f, R8 z- ?
进一步的监控:0 F1 B1 V* s- Y! y8 S* l% S! O
2 M A& N k: ]& ?2 f
$ `( s% Y' |3 L3 t
M, `4 s( s x% a: n发现了该进程创建历史记录,病毒在运行期间一共做了三件事。; w. e* v+ b: B; r |& r
1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
) V' v6 k) w; M+ L* C! w% V* I
* B. J! y; _3 l- b M' p6 `, G, a. W) o
2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。. F/ K/ u1 W/ {" I
" A& m$ |/ B% s5 y( x" V4 |2 s
3. 擦屁股:创建一个bat文件,删除病毒文件。. Z0 |$ v) n( }1 E0 C4 m# j
) i# w; t! y x- S; \
6 e- v; W/ r. d! Y% J! ]好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。( b8 j9 w+ v3 H; u u! s, H
提两个建议:1 P% z8 Y' A2 O
1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。
# I0 u0 t, v6 W% Q/ R2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。! l1 q! h- b+ ?
' Q7 p" d! N' t+ U2 z+ O, q! A2 L5 G
q1 L8 q ^$ L0 W: o- }4 N: u- x
5 i- g% ~) Z. w( o
5 Y- E; r ]6 [; }; C$ D8 A6 z
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
文件删除数据恢复软件免费的有吗?大厂免费
笔记本盘,企业盘,TP返修盘,服务器盘等特殊
PC3000-Express镜像硬盘数据图文教程
希捷ST500DM002硬盘数据恢复(DOS)Read Erro
硬盘维修工具合集
日立HUGO专修软件
HDL 日立软件
数据恢复解决方案分享
ADATA方案分享
IS最新型号TF的ecc和xor方案