|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区
您需要 登录 才可以下载或查看,没有账号?立即注册
x
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。
& s! S3 l5 G1 T9 P/ ]% k" ~9 S0 t0 @
; Q1 u) m" A6 X; }9 N1 [于是又解压出来一个。查看是什么语言写的。1 u/ J- S u$ N* \+ ]
. Q* C8 l8 C5 R S) t5 A" P8 O2 n! j; ^& p, g
Nullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。
/ K8 U) M- I, E z) d8 o6 j) s7 Q$ }, V( B9 i
网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。, s6 T6 g ?$ r9 X
* v* y- e+ p f5 z% N9 _/ G先用OD和记事本看看里面代码和字符串。+ f& U: J) o/ Q$ ~6 ^
' M& {) Z9 b0 B7 [4 J! `6 Z
! D1 v0 C3 d' m w" ?4 j! z
比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。* A4 j) w' Z& |
/ h* {* n# |, r' @+ F进一步的监控:$ }% ]0 Y0 S. Z, e" z; Q$ o& } A
% G W8 l7 p5 M+ H0 v* I" i/ b" L N
. b# A% ^ O5 k2 g( M6 q
5 V6 ~% |0 s, @. u发现了该进程创建历史记录,病毒在运行期间一共做了三件事。7 z4 \ V7 V8 I5 C$ m R+ H1 \
1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
* ~4 |. r8 W$ v7 \5 J
: \$ r! W( E9 P4 N- O- ?% e* W
( }4 ?% s. v3 c$ {% e! {5 z2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。5 q3 W; t d& c" f: j3 x
% l5 U+ S; o/ S$ t* c3. 擦屁股:创建一个bat文件,删除病毒文件。! ^3 A H: M9 U
0 W. v6 U2 b7 y2 ^( m) U% K* {' B3 {! G
3 \+ z8 [4 H1 c; I1 P" d2 F好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。
7 L, ~8 ~4 j1 u+ v提两个建议:' m3 ~/ x8 h- _
1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。6 a- {( D! V0 J, n' q1 U
2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。5 U% t' \7 D/ n2 M x
4 T! L" \' n( h. L3 n2 h
7 W. G3 _. H' C9 e1 n! A
/ |( l- r5 L3 n
9 V! F* B% c. K! ]" s4 X; Z' B2 S/ v! A0 a2 c9 l, f' T
|
|