|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区
您需要 登录 才可以下载或查看,没有账号?立即注册
x
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。9 L. C7 @& U! ?, K# O2 P; E' I
) L* q5 M- W3 l/ _( f8 W! ^于是又解压出来一个。查看是什么语言写的。
3 K. f: F+ |8 o3 ^ t' v! ]
8 H( B/ e8 R" D/ g
! o* U. N( N( O& Z5 o1 q5 R+ d7 kNullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。
; O! r8 p: m0 [' M0 u
; j$ p9 s, G4 z4 A8 Z) v$ A网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。
6 W8 a# O8 Y- |- k
% A! P' q( m4 L: G- X3 |; {先用OD和记事本看看里面代码和字符串。( d4 [3 w( M9 | j
7 }5 f$ F1 T: z2 G5 H1 c. @5 C: P' o, j( B
比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。
* X3 K1 T k! s% g) Q8 j6 T( O
4 S$ P9 ?# _7 p4 v H+ w进一步的监控:, S7 E* w# B. e
- n, i* Z2 _2 @ [# ?5 D, g9 T8 W7 U+ U
6 ?2 x. |8 @5 E& q" {5 g6 {$ ?7 J
发现了该进程创建历史记录,病毒在运行期间一共做了三件事。
- M# t- f2 o2 |* {; n+ o1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)5 _; a- D5 K( M) B
- `# H" W6 l3 n8 P3 D4 _
% _1 E3 X! s9 s1 X7 i2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。
' v2 z% F+ D5 }
4 S; O2 t. e9 { d. C3 C* C# n
3. 擦屁股:创建一个bat文件,删除病毒文件。
2 @7 |8 S& J' d4 o+ ~
; E6 V* Y. J5 F/ @7 Y& c
) i$ I, k9 P# @1 ~; z, t
好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。
0 t% E" h+ q+ ], x6 X0 m提两个建议:
+ P( T$ }% Z$ T0 r4 V) x) G, L1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。
C% m5 Y- |* y( m. X) U2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。
; X! O( ]$ V G- |! W
" b# P. f" {" P P2 |" @6 y K6 F* g l# M8 a
. u) _# d+ i( Z, b/ k
" n# I3 Y& o9 W8 `/ \6 u# }- R. L* L* A7 e f
|
|