系统里发现的某个鸽子的分析
刚才看无缘无故就是出现视频的声音。在关掉所有程序后依然存在,意识到中招了。
重启后用360杀了一下找到了这么一个文件。
木马在windows目录下叫做Hacker.com.cn.exe
发现正常情况下文件还打不开。
然后看了一下周围发现了一个文件。
HideFile.vbs HideExtendName.vbs 等。
Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")
sTitle1 = "SSH=0"
sTitle2 = "SSH=1"
if WshSHell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden") = 1 then
WshSHell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "2", "REG_DWORD"
WshSHell.SendKeys "{F5}"
else
WshSHell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "1", "REG_DWORD"
WshSHell.SendKeys "{F5}"
end if
Set WSHShell = Nothing
WScript.Quit(0)
貌似是段隐藏文件的脚本。
于是乎,看了一下后门文件。
特别有意思的事情是,文件貌似并没有绑定IP地址,因为IP地址是127.0.0.1是本地。
于是乎我想到莫非是其他几种上线方式。
程序会打开 http://www.88ufo.com/ip.txt 目测是灰鸽子的别种上线功能吧。
这个网站打开......竟然是传说中的.......... 波特曼美女寻找系统_官方网站
不知道作者跟这个灰鸽子是不是有什么不解之缘呢.
火眼分析报告!http://fireeye.ijinshan.com/analyse.html?md5=aa313145b600a08604cc904e84e66edd#full
沙发!!!! 本帖最后由 xjun 于 2013-1-31 11:21 编辑
楼主看毛片中了这个网站的病毒.{:1_924:}
需要下快播的网站都是带毒的,楼主可以自己去官方下快播,然后继续看毛片,避免中毒. 软件作者留后门了吧?用盗版给你们装木马? Hmily 发表于 2013-1-31 11:19 static/image/common/back.gif
软件作者留后门了吧?用盗版给你们装木马?
文件的创建日期来说挺符合这个事件的。文件的创建日期是11月4日。 楼主貌似有些许广告嫌疑~{:301_977:} chief没有把好关?他可是破解过 本帖最后由 heidongqilin 于 2013-1-31 20:58 编辑
我犯2了。。。
感觉是比较神奇了 好贴 支持支持学习了!!