|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。
; R$ B% O, E; e- q) D& |; K( ]! O2 P6 ?5 S; S" D& d2 X6 E
于是又解压出来一个。查看是什么语言写的。3 w( H* x- t; r" D f. }9 a) S% Z# `
8 n3 \" |7 O; m7 l4 t4 H4 E/ R- ^4 y9 q: F; G
Nullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。" W! B' q7 U w. P( B( P
; M! X! m' D7 n网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。
* \9 |$ j J: Y5 I, ]0 A/ K9 M3 l, {% v$ l) I: _) ?
先用OD和记事本看看里面代码和字符串。
& i- q. G4 N% Z8 _" H
0 b4 }& Q0 k% Q& K, z# ~
3 m6 W5 C X4 \( Y8 t: L# J T比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。
9 m6 s- O% M+ G$ d4 k
' B3 `' K4 E2 r1 h8 b. z进一步的监控:8 e6 s) l+ ?- p4 i% `
+ {6 d5 a8 G/ A/ e2 Z7 Z6 I; |/ |, g
, E, E9 N! t. W. K发现了该进程创建历史记录,病毒在运行期间一共做了三件事。8 _7 [, [, g2 u) I$ v
1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)7 K* t$ C5 m4 p, Z6 A% a
; q' p0 j, ^* |! t3 o& Q% q. S, Z( G
g1 I0 u* p( R" a Y2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。/ S$ M% O7 K# `4 |7 q2 a
! j% a8 `7 B0 K3. 擦屁股:创建一个bat文件,删除病毒文件。
- ~/ a/ F& d; G4 q! q& ~
6 u) I+ S' G, [% h0 c
0 j/ W" G* a2 s' u5 U) d好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。2 R+ D& X$ F4 c- M
提两个建议:0 a+ f2 _8 |6 K' }
1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。
* L7 N R6 f( _% \& M# _) g% g2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。
7 }! r4 j' l! {2 j8 k |# l9 V0 ?" n7 _
" A/ R# c5 a1 Q- F8 l
" t- ?' p4 K0 p2 m7 L( s1 i7 [
" e4 n, B4 S, }& d& C6 c, H4 z- |& s2 Z: O9 v+ o
|
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
3 T6 P' M- p2 p3 o
磁盘安全擦除工具分享
SM2256K固态硬盘重新开卡成功案例(附带开
SMI 2259xt固态SSD数据恢复 SM2259主控固态
硬盘坏道维修色块全去! 希捷F3去色块又一
希捷前好后坏原理分析
TREX 跑西数3t红盘出现all head is bad。t
Samsung三星硬盘COM指令线制作与通讯连接图
SeDiv试用版 只卖5金 里面有很多功能可用
希捷7200.11 ST3320613AS硬盘数据恢复进PC3
希捷ST2000DM001不进T工具不认,怎么短接