|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。, P/ X( X0 O. e+ ^9 [/ m
/ v4 n. }9 n+ w! R) i/ k0 p于是又解压出来一个。查看是什么语言写的。
, e' C% k: J$ U/ j x
) o6 ^7 A/ ^2 h9 N# g% i; ?
+ e1 u% M' s' D7 VNullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。* A$ C' m5 N' w! F2 Y5 P
# s# A+ s- E, ~
网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。. b8 w9 G7 Y6 H# x1 S/ S/ V/ [
2 r0 z4 o2 ?6 v7 P' e先用OD和记事本看看里面代码和字符串。" A/ g& ]- E' q: |
# P! ?7 ^5 V2 v; [1 Z6 x5 @& F/ b8 B" `5 T1 t& Q
比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。* c7 @3 E8 |3 e+ R2 D
% ]6 b }0 \' H+ W. ^4 ^进一步的监控:
$ @8 j# _5 r j. B M1 }* x- [
" S" m% s4 }+ c, u/ e) Z
' o9 F3 J5 g: C+ a
2 w' v2 }0 g3 S: G; D
发现了该进程创建历史记录,病毒在运行期间一共做了三件事。: L$ }# v$ Z4 J
1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
: D8 g4 p/ K( }, _' ?5 y" d
( ?/ ^* { i# j3 r' u9 P
( g: e, @. f5 G" }4 _! p0 q0 S2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。
6 s+ y% z2 J8 B2 ?% n8 t" K
( p! |4 c X' L$ m; z' x/ _
3. 擦屁股:创建一个bat文件,删除病毒文件。
) W: A/ V8 Q5 s
4 ^: Y N, K7 Y# n2 g8 \
9 K0 X) p: P: s; x: g" D, V q8 x好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。/ p1 l6 J1 Y7 B7 E* O5 H9 C4 i! y! e! k
提两个建议:
2 a' E* o+ x, |' t7 K. R1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。
; v0 B/ X, m5 n5 w# S* M' S2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。9 [' l; g' [+ E4 `) F. h% r% J
* }7 V% x5 H' A& R4 S' E1 r/ l9 R5 w" Y0 e8 T. m; u z
1 w$ P. z* N6 c) z
/ j9 c# \5 P0 J. v! `) x' T& Q7 q' t! y' f
|
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
W8 j( O2 n8 x0 v. H; F
ST500DM002 不进T终于搞定了!
硬盘维修TREX 自动修盘 修坏道 硬盘维修软
SeaTools for Windows(中文版)![《硬盘玩家.数据备份恢复与急救完全手册》(徐刚)扫描版[PDF]](data/attachment/block/43/4307a77199117785891f6f9028e4eb45.jpg)
《硬盘玩家.数据备份恢复与急救完全手册》(
西数笔记本硬盘换了移动硬盘的主板后LBA异
傲琪电子教你区分:人工合成石墨片与天然石
转让一套 效率源硬盘恢复设备+软件(类似PC
安装PC3000UDMASetup时似乎无法逾越的故障
wdmarvel 汉化版 2.2 2.3
EFS解密工具 (支持重装后解密)H-EFS Reco