jim19 发表于 2010-1-13 06:23:20

论坛里的毒瘤-论坛视频病毒

前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。

于是又解压出来一个。查看是什么语言写的。


Nullsoft PiMP Stub * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。

网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。

先用OD和记事本看看里面代码和字符串。


比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。

进一步的监控:



发现了该进程创建历史记录,病毒在运行期间一共做了三件事。
1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)


2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。

3. 擦屁股:创建一个bat文件,删除病毒文件。


好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。
提两个建议:
1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。
2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。





intohard 发表于 2010-1-13 08:37:07

前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠! ...
jim19 发表于 2010-1-13 06:23 http://bbs.intohard.com/images/common/back.gif

那个帖子地址你还知道吗?

hcekun 发表于 2010-1-13 10:13:49

汉无止境呀,又见高人呐

flx 发表于 2010-1-13 10:46:10

来好好学学

yzz 发表于 2010-1-13 11:35:16

楼主好心人啊,持术高心也好。

xiongdeyuan 发表于 2010-1-13 12:55:16

不错,支持楼主

xiongdeyuan 发表于 2010-1-13 12:56:04

不错,支持楼主

xiongdeyuan 发表于 2010-1-13 12:56:22

楼主好心人啊

open5858 发表于 2010-1-13 19:17:10

楼主是个牛人啊,看来你是百毒不侵,呵呵。

xjhal7101 发表于 2010-1-13 23:23:20

找到他直接删号,封ID。
页: [1] 2 3
查看完整版本: 论坛里的毒瘤-论坛视频病毒