|
|
前几天看论坛的本周热门里有不少不错的视频出现,于是就下载下来看看了。这里拿”希捷高级操作视频教程.exe“来说说事。 咋一看是flash转的exe的图标,于是也没多想就直接运行了。可是却发现这个文件消失不见了。靠!他妈的一看就知道是病毒,这么鬼鬼朗朗的。。。
" m, }& S6 h7 [* Z8 K
; o3 D: `% ?9 |# B* O1 D7 u. z( M于是又解压出来一个。查看是什么语言写的。
% O: C5 j' D# \ S
6 E$ C* `' c/ U3 [& Q
- S. C- Y7 M2 |, R7 R7 a* g6 U0 lNullsoft PiMP Stub [Nullsoft PiMP SFX] * 这个东西是NSIS打包和压缩的可执行安装程序。这个压缩包里的打包了视频文件和录像文件。用NSIS压缩打包后的程序很多杀毒软件杀不出来。
/ J2 |! n' s" U' p. k; i- G
; ?& y$ e) \. X; w8 L4 [网上也没有找到解压缩的办法。没办法反正机器也挂了,直接运行病毒并且对病毒进行相关监控。 K2 E% e6 {5 ^
2 k% `8 F% W* q# E# d/ r4 M# k先用OD和记事本看看里面代码和字符串。% W1 M4 E* x+ d8 {" w( `7 ^
& x5 T) [" E- m$ K/ y' D% x5 ]/ o
2 K5 ^( ~, @8 w( j0 H
比较有意思的是发现了 xxrongcun.3322.org,这个3322.org一般都是黑客在用啊。病毒制造者太阴险了。。哎。。。+ V6 g3 O! z* X+ H1 T ~
6 a' _5 C$ v0 X) ^
进一步的监控:
6 _! C) I& Z3 k
d4 A, N0 C5 k T4 c, O: ~/ x# Z# _9 `' q' ]; _% e3 m4 E: L
% ~4 k% k. W& q& g4 g5 [* G
发现了该进程创建历史记录,病毒在运行期间一共做了三件事。; s g' r( N& T( _# g% }9 c$ r) R% @
1. 拉屎:释放两个一下文件到系统账户目录的All Users里(详见下图)
9 p0 _$ v. b4 ~. S" v3 P, P
$ R1 y; ~4 Y4 x+ Y1 N
. Q8 E3 e+ L3 J0 I, e% _9 n& {2. 撒尿:将上图中的那个可执行文件进城插入IE达到隐蔽的效果。
8 E5 X" M, S, v, C( x' J
$ V& Z/ f9 o5 H7 a1 e
3. 擦屁股:创建一个bat文件,删除病毒文件。
% O1 {& X9 Y' F0 Q
! q/ C8 }5 e+ O# w
" D. c7 i( W% A- l0 H
好了,就说到这,至于病毒到底干什么用的,就不多牵扯了,反正危害不是很大,不过大家也不要掉以轻心哦。
! ]) {) ~4 N/ Y& V' L# \0 a s提两个建议:
" R3 Z" \9 t1 C" V" L1. 尽量不要运行部信任的可执行程序,防止不法分子利用病毒盗取技术资料和个人信息。
2 M. J9 q7 t) l: G2. 还请论坛管理员多多注意啊,将这群不法分子一网打尽。
1 A& L- J% _: \, h/ z7 ^4 \0 a7 ]5 f1 `8 v) ~
( ^& ?" A: u: K5 B& K: H; g0 m3 c" n
" _, u' F5 H$ B7 Y" q
7 `9 X1 K! M: |8 P5 i
; i1 `0 C: V7 w1 `$ @3 b2 a: b |
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
自动修盘工具TREX 支持到19XX
WDMarvel 2.3 English stable
西部数据硬盘各ROM模块及01模块主要字节含
老吴专修单独做30成功100%视频演示
老吴WD专修视频教程
磁盘安全擦除工具分享
QQ聊天记录MSG2.0.db恢复成功
数据 ADD XOR 加密 秒得结果
1672 Mariner5 通刷超级固件
无硅油与含硅油导热片: 精准匹配不同场景