|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。
0 W! T9 |$ e, h0 T5 r' t I( c. \
* U+ A. D( L4 L. H于是又解压出来一个。查看是什么语言写的。
& T L1 ^; B0 N$ R3 H$ C- W
( j6 B+ M7 \$ Z* t. I, V @0 l% R8 z7 S
. U/ O* s& Y) [( @! @, V+ yNullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。# K1 X- G7 }) M( z
3 i# z: ]6 N5 H2 h# O. w网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。$ Z* z# m5 i, g; L* |. @
( D- e5 z9 m+ e) [. f! m. m% w' Z
先用OD和记事本看看里面代码和字符串。! Y: L: y. G5 o5 E" H% o! n
|) e, ?5 i- l! O/ R/ g, x& ^. s0 B
4 a! Q) j/ G0 q+ K/ w
比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。
~. f/ h! _! }, ]
5 Y! Z: \; D+ K7 T' P& B进一步的监控:
2 W$ ~* c/ v2 L* z
7 m2 j6 w, k0 E2 E
6 p) x- |1 h8 G, N; x# s- ^! M
) z' ~. q' q+ y9 m! y. P发现了该进程创建历史记录,病毒在运行期间一共做了三件事。
" b( y' O7 i# y( o. i8 v% U% H# j% C1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
$ ~! P, y0 ~0 I1 V
! g" P8 g5 O; O+ N- I- O; i6 N- M w7 V' P
2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。
" u+ @- W B+ Y7 t1 k
$ G4 w0 [+ m! j, [: M$ D/ d3 {3. 擦屁股:创建一个bat文件,删除病毒文件。$ r* B) [: D9 p' ^
: x) A% r, l" ^' P
9 B7 Z* f$ t9 H& m8 _9 j好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。3 p E$ z7 J, j8 V1 f2 V
提两个建议:# s2 ~& j E" @! T+ \
1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。- I# e, O @/ K; p7 A$ r0 J
2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。, K/ C: p* ^3 H# y7 }' W" K5 {! j
0 C3 p; @& B e+ A3 T- g3 B3 G" J7 u8 P2 D p0 q% ~
/ ]% B* l4 k5 G2 W8 q
- R# W6 [1 E t5 Z5 F% H$ Q9 z0 L: ~; h
|
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
trex西数维修dos版分享,不知道违规吗?如
硬盘维修工具合集
能用的SHT 资源不好搞!
收集的几个三星维修的软件和资料分享给大家
Samsung Utility完全汉化版三星专修,比SRT
日立HUGO专修软件
希捷硬盘固件更新工具 支持SAS/SATA 64位
磁盘阵列技术原理分析
STC 原注册版本现免费 终结版 原200人民币
ST语心定制希捷专修-小改版,改掉几处错误