|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。( A; m. Q. K: |, i2 Q( `2 n
}3 @+ s" o8 C2 Q0 x2 }4 J
于是又解压出来一个。查看是什么语言写的。
- R8 b) D4 `& A2 M0 Z) J& R5 [! k4 H
. T) ?9 h0 P& Y% V* KNullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。
( h6 P1 Y& g1 ~* _- [8 C- j/ d
( r! [; Q2 z; I. g* n网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。$ j: H9 \+ k3 G7 p# s8 w( j
, n1 V: U7 c. u# Q/ _$ c1 p3 O4 [先用OD和记事本看看里面代码和字符串。
* L6 q) b; g" G3 D+ m; G+ L6 `8 x# ^2 o1 u8 E7 z8 z+ k9 w
1 Q7 O% r, _$ [& k( Z/ L7 G3 O比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。2 O; h; B( Z/ Z( @
2 o5 a* U/ U; ?# S* b. ~
进一步的监控:7 l* F9 U* Y J( D0 J% X Q
) A. M6 _: g i6 J, ]9 r2 C% a5 |! c$ z# v9 B: ?
. w" _8 p7 @" l3 _+ S) E
发现了该进程创建历史记录,病毒在运行期间一共做了三件事。
- {+ o4 ^# D1 ]2 Y+ {1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
4 ~8 a. i7 N, p4 q, a S
( t/ W2 n2 q& t3 S+ [6 F5 k; M- i2 ?2 d+ R5 h6 K; b$ B6 }
2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。
4 x0 h4 q8 f; n, h9 z8 e
5 S$ L# O% b- ?0 @2 @9 L: G3. 擦屁股:创建一个bat文件,删除病毒文件。
# h7 W0 E5 _1 X0 [( j
8 @% m( J/ y" ~* S: N: E' a. f( s5 u& f& Y3 p
好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。+ s/ y! P! H# F- h
提两个建议:
! r2 l4 N* d* a1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。& o3 X2 I! G# e4 u+ F# ^
2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。
- b2 G$ b0 H! H* Z" v9 A7 ]9 s/ W7 p/ q
% ?. d5 U0 N: x/ r& `
' D1 j/ z, _; V" p) o: W0 B9 i4 g/ F
2 V$ M4 x, e! G) K) G
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
笔记本盘,企业盘,TP返修盘,服务器盘等特殊
PC3000-Express镜像硬盘数据图文教程
希捷ST500DM002硬盘数据恢复(DOS)Read Erro
硬盘维修工具合集
日立HUGO专修软件
HDL 日立软件
数据恢复解决方案分享
ADATA方案分享
IS最新型号TF的ecc和xor方案
f3 repair Tools V5.5盲目乱操作硬盘不识别