精華區beta AntiVirus 關於我們 聯絡資訊
繼續以 help.exe 這個範本來實驗 ==== 自解壓 ==== help.exe 是一個處理過的執行檔,它會先執行自解壓。 在同目錄下產生以下三個檔: 1. help.exe:Zone Identifier 2. help.exe.Manifest 3. help.exe.Local ==== 執行期 ==== 解出真正的 help.exe 後,它會先修改 Registry, 然後藉由 Explorer 從 www.tw7890.com 網站上下載兩個檔。 1. /PATH_IS_MASK/aa.rar 2. /PATH_IS_MASK/aa.exe 這兩個檔才是真正的感染源。我想原作者的變種感染是更動此兩個檔案。 help.exe 對 registry 的更動,目的要是想要隱藏 aa.rar, aa.exe 的行為, 然後藉由 aa.rar 與 aa.exe 執行真正的侵入行為。 ==== 後語 ==== 這個案例指出安裝 Firewall(防火牆) 的重要性。 當 Anti-Virus 無法在感染初期防止時,Firewall 可以禁止惡意網路連線。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.109.22.169
meletor:大推! 09/14 11:20