PTT數位生活區 / AntiVirus (防毒)

[分析] kavo 的感染前期

看板AntiVirus (防毒)作者 (我愛亦潔我愛亦潔)時間18年前 (2007/09/14 11:09), 編輯推噓2(200)
留言2則, 2人參與, 最新討論串1/1
繼續以 help.exe 這個範本來實驗 ==== 自解壓 ==== help.exe 是一個處理過的執行檔,它會先執行自解壓。 在同目錄下產生以下三個檔: 1. help.exe:Zone Identifier 2. help.exe.Manifest 3. help.exe.Local ==== 執行期 ==== 解出真正的 help.exe 後,它會先修改 Registry, 然後藉由 Explorer 從 www.tw7890.com 網站上下載兩個檔。 1. /PATH_IS_MASK/aa.rar 2. /PATH_IS_MASK/aa.exe 這兩個檔才是真正的感染源。我想原作者的變種感染是更動此兩個檔案。 help.exe 對 registry 的更動,目的要是想要隱藏 aa.rar, aa.exe 的行為, 然後藉由 aa.rar 與 aa.exe 執行真正的侵入行為。 ==== 後語 ==== 這個案例指出安裝 Firewall(防火牆) 的重要性。 當 Anti-Virus 無法在感染初期防止時,Firewall 可以禁止惡意網路連線。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.109.22.169
09/14 11:20, , 1F
大推!
09/14 11:20, 1F
09/14 17:32, , 2F
/twv/help.exe /twv/gg.exe XD ... help.exe 抓不下來了 QQ
09/14 17:32, 2F
更多 blman 的文章
文章代碼(AID): #16wVjQek (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 blman 的文章
文章代碼(AID): #16wVjQek (AntiVirus)