|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区
您需要 登录 才可以下载或查看,没有账号?立即注册
x
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。7 P! r a# L% H& f& {) J
2 w" Y( V1 V6 J* n! I" y) @1 `" t" {
于是又解压出来一个。查看是什么语言写的。
% K w6 |+ i, \6 J, b! S2 x" ~. d
! u+ D7 r& t: y3 G$ C8 s
0 o! J' D y4 B: n& m, tNullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。; \* D$ R! ]1 R4 M5 J* F% m
# Y0 I h* A6 \, r网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。. i0 x% J3 h( a# }4 j# g6 k
( S! ?, o P3 W j$ V9 ]6 Z
先用OD和记事本看看里面代码和字符串。
# q9 K; v, m G6 E7 I; m1 s
( g. v( w6 {, h' c; S( H+ y
5 a- ^' e( M% [
比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。
) f6 f3 o% `7 l0 t( X4 Q: m# A" l, k* h' @1 V
进一步的监控:2 M7 F% d0 I- V$ B
" o8 r! i6 o3 O* ?) V$ c& L6 |6 a
+ N- \( s! d' A: N7 b
5 M8 e5 {. N* l$ Y' ]
发现了该进程创建历史记录,病毒在运行期间一共做了三件事。/ i* Y C* m3 P# a% Y, D
1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)* a) f ]- W% r `1 H+ F$ I/ a3 ^
1 \7 A: @ A1 q5 z: w
9 Q% u9 D6 l8 d( ~
2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。
& O6 C' d2 o' B& |% t$ h
1 T0 Y- r2 E6 @" ]- T3 R5 x5 s( l
3. 擦屁股:创建一个bat文件,删除病毒文件。3 Z8 _* h8 T' L& X* ^4 _' h
7 n- _! k3 [. k4 `' l- a$ T* B
$ k; }# X' p, j6 d+ m好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。
1 V& @, M& p! `3 y' T$ B提两个建议:4 c$ ^' x1 B8 p0 r
1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。0 ]" m3 A& D" R
2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。
9 Z8 t7 @7 a$ U1 |9 ]7 {$ r+ k3 a! o; U' m
" K4 e- u9 {$ H) c) B$ n0 ]+ X0 D; e
1 F. U% g8 j7 p/ ~7 H" n6 n* Z o6 {2 X" u
|
|