|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。& e( D8 E1 `6 n# t y: O
$ \. i R! ?- O# Q; |于是又解压出来一个。查看是什么语言写的。
: j7 W' X2 M( T
% h! Q+ M1 ]# ?1 U$ @1 W. J* d" R- d
1 ^$ X9 e7 U6 A5 X5 y9 xNullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。
; O- A- R9 H2 [& V R& \; n
! d8 ]+ h. r" }, C/ h网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。
$ f: w- e4 ^: x2 l# d/ U& S c: n/ z/ h' p
先用OD和记事本看看里面代码和字符串。* S6 h7 @! }! L# y" V2 t
8 R+ [1 r* ~9 Y9 x5 b/ \3 _
8 Z3 J5 I& Y& p, C# F1 v) R比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。
6 J0 l# K( H# o" L3 d% o, a
4 ^0 l( t# H1 o }& o( f进一步的监控:
o( d. g1 l& h2 {7 u* j
! v8 ]6 A) H; T0 X- k9 q
: I9 I5 t+ b) Z
& }' m" [/ ~, @7 A
发现了该进程创建历史记录,病毒在运行期间一共做了三件事。
( e& `4 u! e! |7 ^5 m! P1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
9 ?1 B& e( ~( M5 a( t1 s
6 b, Q- r) q$ X2 n3 G, }8 ]( P% h Z: d/ t
2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。, |* T' Q: x0 }4 y* \
, y A9 m# z$ v- |, Y% ?
3. 擦屁股:创建一个bat文件,删除病毒文件。
: R) |* `5 ~1 L( D/ F/ b
, V3 n3 i% H, f* j7 v# x. z3 n7 R
好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。% \# y4 X2 `; N# N# `
提两个建议:
* o" }( o4 y* g: c1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。4 Y. |" H& q) C" M3 N" [3 g7 b
2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。$ d c! ]8 Q- Z% o1 G. F/ b
( \4 F3 A2 \" H
' x0 m8 U% `8 q7 T8 X
/ N1 u3 c! C$ e( O6 _
* }5 I; {* O3 A! q( Q3 r8 G, e5 b# r, e) B- z2 ]
|
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
( _, ?: Y7 b2 h. @! l5 o1 a
真正希捷F3批量维修程序 同时操作6个盘 可
58GrenadaBP2家族三角板盘1ERxx系列硬砍0头
U盘及各种数码存储卡故障(写保护、不能识
WinHex中文模板
磁盘阵列技术原理分析
手机摔坏进水宕机无法修复的数据恢复方法
文件删除数据恢复软件免费的有吗?大厂免费
sediv安装说明
SMI 2259xt固态SSD数据恢复 SM2259主控固态
慧荣SM2259XT数据恢复遇到问题