|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。
$ q8 Y7 e+ Q2 j7 l" R. I1 U# A, z6 Q2 s, w- b3 `6 M8 Q' ]& e
于是又解压出来一个。查看是什么语言写的。" U; `5 }8 ~0 ?9 M& `' x
4 V, E! M+ Q7 p: q( T( [ I8 h0 ^* B
Nullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。
9 a9 F& ^7 d% ]7 q% T9 P$ g4 F$ n$ u5 E$ ~7 Q8 h( A1 u$ Q
网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。
+ P# I# G$ ^9 o" o0 Z/ X
* e1 }1 \3 ?' M先用OD和记事本看看里面代码和字符串。
$ C. c2 @1 s8 T$ t0 [9 K2 k* U% y! Q& z9 `% C2 o
" }7 L, ?& g9 }: R1 h$ A比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。- r: K( K1 b4 d2 E# s
0 b7 Y+ L/ Z% s# w% O" B进一步的监控:4 v4 l2 C. f. y# c5 r; Q
1 y! k' M( I1 k
$ t, ]( ^1 j' v9 _0 q* T& t& M" R! A- `& e$ g/ F
发现了该进程创建历史记录,病毒在运行期间一共做了三件事。
# ^+ f, C X5 y, G1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
' m; s* ^( r1 {, ^. @# J3 J ~
+ p" |, ~2 D0 E% {$ _$ V! h6 R9 |/ ?5 T, p- K% O/ {. w4 g* s" j5 l
2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。
! j: \- N; E3 D# o3 L7 G6 M- p
. R$ V! P- I( I6 t+ D3. 擦屁股:创建一个bat文件,删除病毒文件。8 v0 O" K: Y$ _' q6 `! b" x
7 q0 x2 C% i, @$ d
+ X/ G# s+ c5 l& y: M3 P好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。5 Q, l# |. a, }5 p# V. M
提两个建议:
4 A& ~4 ^8 u5 ]( e# Z7 I% p( i1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。
# @+ o: Q: P; i6 a2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。. f+ r' C; L$ _+ P R0 S+ c* Y% ^- m8 `
4 `* C: `. j) t# N/ c' V
8 ?' X! ^1 m$ g" I( _! ^* i) f E
2 M9 ^1 U8 f# F0 \
- Y$ g! d; @ a7 V0 B" G
6 R/ k6 c5 h9 b& [ |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
论坛上卖的trex我全部买过,说下心得
TREX 工厂级维修 12分钟一片盘
希捷硬盘固件更新工具 支持SAS/SATA 64位
硬盘维修工具合集
硬盘坏道维修色块全去! 希捷F3去色块又一
真正希捷F3批量维修程序 同时操作6个盘 可
Easy Tools SM2258XT固态硬盘工具 数据恢复
磁盘安全擦除工具分享
求助闪迪开卡软件Sandisk20-82-00381
trex西数维修dos版分享,不知道违规吗?如