|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。+ Q- ?4 N {" V1 s
% R4 i, ]& X2 f- b' F/ O! o D于是又解压出来一个。查看是什么语言写的。
, n2 q8 R/ U- m- g+ w; b7 s
1 b; X4 e5 c8 _/ l6 k: Z1 O/ ^, y' `- P) N4 f# c
Nullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。
) E$ _9 j6 q" k. l
/ r7 a1 J: g; {8 O网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。
4 x/ `* \: C( k8 ~: U
- j ?' n( e; p; |先用OD和记事本看看里面代码和字符串。
, U3 D! r9 J. G" {( @
8 w7 Q7 j; c/ E% ?+ i
4 a) E4 b$ s0 S; o7 G比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。, \# X+ r f9 L* z
7 l; _1 N' @" W) U; s进一步的监控:/ v9 l4 |2 P: Q
9 _$ m0 g# L g/ J B6 v+ `* `( c6 v' \8 Y. M$ p6 e6 e" l
6 i4 S; W: e6 T! f% s+ O! K, D$ W% {发现了该进程创建历史记录,病毒在运行期间一共做了三件事。
, N T/ M/ i7 C+ z$ m4 @3 _1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
# k5 |4 ?2 p8 o! \. c3 G6 j# [% H
$ @ S& G7 L' T4 V& o5 y1 _/ Y$ U, J
" l# b: ]6 [; C+ M& P2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。7 f6 Z6 A6 C& i) o
1 b( o+ O" ?; n- V, J7 u3. 擦屁股:创建一个bat文件,删除病毒文件。
$ {: e ^: o: O3 R. y9 l" e/ @$ ]7 I7 x! e
2 D$ _" M6 @) t! z# \, F4 b+ m- x好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。$ u8 H$ C- o' R( x/ a k
提两个建议:
/ e9 V K& j Y$ M( W% Q6 v0 t4 l1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。+ ~. i( {/ S% U- N2 d* Q
2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。
7 `6 d6 E; N2 h. u
! t( C6 @' [& E% _5 i. G. _; G' I0 v/ H5 W; Y- g
/ f* j4 F* K, a6 y7 \
8 m) D, a2 n" ^* y/ X' W+ N% w7 ~3 b; M
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
笔记本盘,企业盘,TP返修盘,服务器盘等特殊
PC3000-Express镜像硬盘数据图文教程
希捷ST500DM002硬盘数据恢复(DOS)Read Erro
硬盘维修工具合集
日立HUGO专修软件
HDL 日立软件
数据恢复解决方案分享
ADATA方案分享
IS最新型号TF的ecc和xor方案
f3 repair Tools V5.5盲目乱操作硬盘不识别