|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。
0 ?5 P4 z) I3 e" D) s# f- F9 g5 u) {5 G, q" i9 D, E3 b
于是又解压出来一个。查看是什么语言写的。
& z3 E0 s, {0 P1 o8 ^. ]3 W
- R0 E, W" a- Q" @: @( s9 S
5 t4 C1 y7 D+ M
Nullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。
# P. g }+ I- C5 ~+ l V9 g) z" @) x, O7 ^$ m! ^/ O
网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。
4 a/ Y& h/ p& D& c" T- `! ?; P
) ~: T% H. B, _2 \ y先用OD和记事本看看里面代码和字符串。
5 V. D3 ~- B# }) q+ \$ m: d
- P! T/ R! ~' t: p& S
! }6 Z/ Q$ q q比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。; d4 ^3 `! H1 e# n2 \' E7 T3 ~
$ K# }2 N+ |7 d; {* Q( A进一步的监控:1 r/ L7 k, `/ v9 G$ B
/ b, _6 B% e4 u @" }/ i
& V# T7 L5 g! I$ _8 j% Q9 V
- x% ^' o) G' }0 Q
发现了该进程创建历史记录,病毒在运行期间一共做了三件事。
( N9 n5 n2 p6 ]+ H* m0 E- ~1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
" `- o7 ~4 J6 W
. t% p! q/ ~4 O+ w7 b, S; F; M" T' S) R: ~) O0 g# C5 t! d0 U, l
2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。
8 L( o$ k g1 ?. G# }
1 @, ^2 N% }; F5 S4 Q3. 擦屁股:创建一个bat文件,删除病毒文件。
# ]- K3 d1 Y; a& t
: A, y4 D+ P8 u8 n5 K1 m# u2 r. ^ F9 ~) D
好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。
% l# K3 ]9 a% a提两个建议:
5 K: Q1 O0 Q7 G$ ^; y, ?& E" k8 K1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。
/ h( v7 w) j/ g9 G/ N8 u2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。1 @) q8 w* P8 O/ g7 }9 ]1 Y
, t* x* \, @: O$ e# m6 n8 ?% ?5 Z# B& n4 B7 S1 b. r; X
1 _" c5 I0 w9 B/ Z1 j
3 M$ A" {: S7 K3 s8 N8 E8 J, S, {& q
# m/ N K R% b |
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
! V. R3 |! o) d8 }+ g0 u
SeaTools for Windows(中文版)
北京某高级数据恢复系列教程
MHDD 6.6 一鍵快修
电子产品散热设计深度探讨
【新手看老鸟闪】西数模块定义直观图
硬盘维修以及数据恢复合集
真正希捷F3批量维修程序 同时操作6个盘 可
58GrenadaBP2家族三角板盘1ERxx系列硬砍0头
WD 28(PST)模块简要说明
电子产品结构与导热材料解决方案