扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
tmp\tmp.htm病毒发现过程
今天,搜索硬盘的时候发现了病毒:tmp\tmp.htm是一个病毒来的,我介绍一种变态的捆绑方法~ 网上介绍的那些检查捆绑技术根本检查不出来(前提是不运行)
这个是系统自带的捆绑机 只不过这里有用RAR打开
如果打开就全部露馅了 所以我们隐藏掉这个选项
这两个壳都是为了 改用RAR打开的 效果是一样的 跟正常的EXE文件一样 代码全部加密
什么也看不出来 目前任何的反捆绑软件都不会对WINDOWS捆绑报警 隐藏运行 如果你是捆绑鸽子的话
运行后删除 根本发现不了
tmp\tmp.htm病毒运行的行为分析:
新建 C:\Documents and Settings\tianguxing\Local Settings\Temp\IXP001.TMP\TMP4351$.TMP
删除 C:\Documents and Settings\tianguxing\Local Settings\Temp\IXP001.TMP\TMP4351$.TMP
新建 C:\Documents and Settings\tianguxing\Local Settings\Temp\IXP001.TMP\FINT20~1.EXE
新建 C:\Documents and Settings\tianguxing\Local Settings\Temp\IXP001.TMP\FBFE(~1.EXE
新建 C:\windows\Prefetch\FINT20~1.EXE-140968A4.pf
查杀tmp\tmp.htm病毒的方法
新建两个文件 如果不运行 是无法查出来的 一般的安检员都只是用工具看看
然后查下this praogram有几个 就放行了 所以这个方法挂马是很好的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。