论坛里的毒瘤-论坛视频病毒

jim19

前几天看论坛的本周热门里有不少不错的视频出现，于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标，于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠！他妈的一看就知道是病毒，这么鬼鬼朗朗的。。。
/ z# A3 _4 r; G+ b" W
. V" u' o: P* u( D8 p于是又解压出来一个。查看是什么语言写的。
" U3 E+ b' B1 u) H$ s( j2 Z2 q4 [+ ]
7 L/ x* X$ J4 @1 T" Z
8 j0 n/ c/ g: z  lNullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。

网上也没有找到解压缩的办法。没办法反正机器也挂了，直接运行病毒并且对病毒进行相关监控。
4 |  F, S- y. B5 K1 n; C- Y
先用OD和记事本看看里面代码和字符串。
( X8 J' f6 N! Y! ?% V

比较有意思的是发现了 xxrongcun.3322.org，这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。

+ a" K- H! U9 d2 i/ X进一步的监控：



" C( l  d' v6 o) Y3 c; Q6 ]发现了该进程创建历史记录，病毒在运行期间一共做了三件事。
% ^6 e" \! o. x' M1. 拉屎：释放两个一下文件到系统账户目录的All Users里（详见下图）

) C: m+ n3 e  _  N% v; `0 o6 G
$ J2 L1 ?& y6 S' @( F% o2. 撒尿：将上图中的那个可执行文件进城插入IE达到隐蔽的效果。

3. 擦屁股：创建一个bat文件，删除病毒文件。
3 ]  j$ G$ u4 K- n9 G% H" u$ O; f
4 b1 }( H, g" b) C: C
好了，就说到这，至于病毒到底干什么用的，就不多牵扯了，反正危害不是很大，不过大家也不要掉以轻心哦。
提两个建议：
1. 尽量不要运行部信任的可执行程序，防止不法分子利用病毒盗取技术资料和个人信息。
2. 还请论坛管理员多多注意啊，将这群不法分子一网打尽。

% H+ }* v; u1 B4 `* j! f
* E9 \$ p- ~9 x9 e5 T
4 a3 r# }# c2 y8 P6 g

5 f. ^' ]; t; W

intohard

前几天看论坛的本周热门里有不少不错的视频出现，于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标，于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠！ ...
jim19 发表于 2010-1-13 06:23

! b, h& U; Q) x/ A$ r                               
登录/注册后可看大图

9 m& o0 O2 L" u" @' w+ O$ q1 P+ K那个帖子地址你还知道吗？

hcekun

汉无止境呀，又见高人呐

flx

来好好学学

yzz

楼主好心人啊，持术高心也好。

xiongdeyuan

不错，支持楼主

xiongdeyuan

不错，支持楼主

xiongdeyuan

楼主好心人啊

open5858

楼主是个牛人啊，看来你是百毒不侵，呵呵。

xjhal7101

找到他直接删号，封ID。