|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。
3 R: ~* k* X! j7 w9 M/ ? ?
3 a/ H) f4 G7 r: ^( R于是又解压出来一个。查看是什么语言写的。
9 ^1 Q6 C. D' X; j+ _2 x5 Y
- W! {9 S. O) D& R: r8 c; S/ D1 s' L. k3 T0 ^
Nullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。7 T5 R, T6 `; [- @3 `
( W/ E7 l3 I, s' c
网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。( P. i" g! |5 p
7 C2 ?' x- h9 e" N6 Z
先用OD和记事本看看里面代码和字符串。
8 X8 ~, V5 j9 v- @: B" ]5 F
7 ]7 t# O: p5 d* f" k9 a5 a
! _& r' V5 {' I0 l比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。
0 P& @. c7 x/ D1 l% L! ?; c5 E; |. ]/ y
进一步的监控:
c- v t9 u. i% d
0 [* P- x3 J8 J4 u4 R1 f0 D4 U- L0 ?$ S9 v* ]" N( J( B* ?
' z' K0 d2 E. w发现了该进程创建历史记录,病毒在运行期间一共做了三件事。
' i2 [! X6 [: t7 h; w1 [1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)# K, F" ?; E& z, ?) `
7 M' G% }6 P/ [% a
. N4 o4 m* D! S+ o* J0 l+ a7 i2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。
7 Z# J8 S. D) A, H
# u' r9 j* d) A: l0 n+ p- y" ]) S
3. 擦屁股:创建一个bat文件,删除病毒文件。. V* m0 i; U) `+ K
8 c/ C8 Q" I# s. e% f6 |' h$ ~
0 b2 s9 o- N6 f4 M; F1 }好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。
% o0 ^: W' g" H9 Y6 s( P提两个建议:
9 q8 E+ ]+ h& _( p4 w+ r1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。1 Z6 ]9 T$ [7 M/ w
2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。
! m3 j) d3 i0 D% z U
- L8 ?. `1 W# T8 c: v, ]# r" m; X: o- Z5 |, s* v& P* L, [1 c
8 J. W% e# F. o9 k" a( u$ J* \/ n
! R, d( u5 e5 B$ {
8 P( C: X7 y' W4 Y% o |
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
trex西数维修dos版分享,不知道违规吗?如![《硬盘玩家.数据备份恢复与急救完全手册》(徐刚)扫描版[PDF]](data/attachment/block/43/4307a77199117785891f6f9028e4eb45.jpg)
《硬盘玩家.数据备份恢复与急救完全手册》(
硬盘维修工具合集
ST500DM002 不进T终于搞定了!
MHDD实用技巧
EFS解密工具 (支持重装后解密)H-EFS Reco
U盘不识别数据恢复:一体U盘通病数据恢复方
NTFS文件系统中MFT项中主要字节的标注(完整
特殊文件格式恢复工具 免费版 (实用)
2017基地首发,DM系列虚拟启动教程,内含资