|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。! L% |( [. w( u+ a4 J5 c
2 N; D# ?: ^# a) |
于是又解压出来一个。查看是什么语言写的。
6 L0 t( [7 t" ~' r* H4 L
5 [$ S8 _5 s" V' j8 Q% K5 {+ f+ W5 }& r% P6 o
Nullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。
* C4 V) k9 O/ d' P
( ~* T% p* [$ |网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。
6 v3 z f% h6 Z4 i2 @4 d, C4 S' C4 D$ e9 L8 n* g2 |
先用OD和记事本看看里面代码和字符串。- p5 ]/ o! x- I @0 G1 Y
( q# z4 O6 |7 N0 ?9 w- z1 ]9 Q
9 l' H @ [7 `6 D- M* w5 x
比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。5 t- ~( b0 e& k( Y- N D
" V' }* \& a! ?! A0 a" i
进一步的监控:
# o( A. u" a4 _8 _
5 F# ^1 Q- d) i) k$ G
( h( s7 P0 S7 q
7 S. e' l+ Z; V. Z+ l% w发现了该进程创建历史记录,病毒在运行期间一共做了三件事。
# |$ d5 m$ ~7 ~1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
; P/ ~! m9 F9 X2 A
* E, I/ v) O( A
1 C2 ~/ P* p2 y2 y+ F$ y6 k5 i2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。
. d$ n6 Y1 q$ j
2 A" o' O5 @% I0 V& W0 j, A
3. 擦屁股:创建一个bat文件,删除病毒文件。 n/ C7 A9 l: S
; {! W1 W3 o% P4 w) z' ^* b, u- i
+ \# m; i9 j8 z6 f! a好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。
2 G& ^3 u5 Y4 ]7 b, _4 E提两个建议:$ o+ f) e# E4 N2 j F/ c) O, g
1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。' h/ y7 k& ]7 G% O$ e. x. |
2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。+ B7 x- M: M& D4 \3 c d
- h; A f, j) L/ l+ {8 J2 H/ C5 M
4 ~8 o' A: t. N. s* x
, _ p. |+ B* X
- h& [; N1 N; n7 A, }$ ^6 Y' P" K0 P4 V/ I, j. ]+ c3 f
|
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
+ O' J. B3 H# i+ w8 [! _* F
评论:语心的所谓硬盘界学术打假,顺便浅谈
701537 3200AAJS-80B4A0 05.79A 7K固件 任
文件删除数据恢复软件免费的有吗?大厂免费
笔记本芯片资料-测量数据-BIOS-图纸下载
老吴WD专修视频教程
【土豆新篇】Fujistu320G本盘暴力拆解
小空间里边的大秘密--西部数据硬盘数据恢复
希捷硬盘数据恢复之磁头组件烧毁污染篇
小空间里边的大秘密--开盘数据恢复之盘片污
数据恢复陶工北京数据恢复!希捷500G完全烧