|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。
7 u3 d4 b' m2 V# t. ^+ N7 U) P
2 b; f0 `0 o6 x" T& b; w于是又解压出来一个。查看是什么语言写的。
9 R2 j, l; e- ]! E: d9 l8 A
+ G3 Z6 [: D3 {6 y7 E5 A4 U& W& {, c6 M% r1 {
Nullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。( o: F) M) I+ ?! g6 r5 H
8 Z% M4 b8 P" K- h3 r网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。
- j$ ~- v/ x5 F: h# A2 y5 f- z* g
+ ?) B9 o: [# [先用OD和记事本看看里面代码和字符串。 @; D5 L+ n. L+ i p, z
, h2 P' Z7 O! v0 r5 G: O
/ w6 Q: q# y0 K5 N# [# o' Z比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。8 |4 r( E( r! x0 F& n7 J
# Q( P; e* U, T- E6 g& b8 z进一步的监控:( T& n5 v0 S, a9 o
, ~' X# \$ W3 {' ]& {' K" v$ g9 v* R6 }
$ I2 k: J9 |3 P' \
4 ^8 m) g, O0 n% i% w/ V( \: F& q发现了该进程创建历史记录,病毒在运行期间一共做了三件事。
$ ~& G/ [+ J3 ~8 u2 Z1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
b0 F% ?' W/ y" {( m7 @7 c2 t/ L ]( j) J2 V3 G+ h0 j+ A" {& x
' B [( R: v& g% Y
2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。
6 K2 z' {( H* Y) Q
4 f6 K3 g; `! l `- {3. 擦屁股:创建一个bat文件,删除病毒文件。
' A7 s! {9 K F) u5 I+ b
- T1 X7 v: N9 }+ f1 J O4 E* t; F) o/ p! j
好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。 e& ]% f9 n6 I0 t* ^' d& v
提两个建议:' f7 P0 U$ M2 v: A0 v) b$ G
1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。' P; v6 ]5 p- J( S! n5 l
2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。- @/ f1 g8 ~* ?. P5 o6 q
/ [9 G! q& B }6 P6 Z
* {) y+ C/ ^- h$ j2 ]
# B7 D5 U* h2 M0 a- U- t
) h& O( K d5 n: ?( q1 g3 G) F5 S- _- W3 n3 h5 p5 P5 I
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|