文章「圖片」有不能顯示時,請點協作平台…感謝…
上回收到了一次維正 張的lnk惡意程式,這次他老兄又來了一封rar的檔案…
而且還附上密碼668…真感恩耶…(昏)
標題寫的很聳動,我倒覺得還好,因為我信箱三不五時就收到一堆有的沒的信件,什麼哥哥不要啦…妹妹什麼的…
這回來的看來肯定又是騙人…好吧…就給你騙騙…大不了ghost回去…
不過以下實作是已有ghost過(不怕一萬,只怕萬一)避免有漏網之魚跑出去…影響後來之電腦運作,故不是很瞭解系統者就別嘗試了…
後果可不負責哦…
看下圖吧!
附檔是「美麗.rar」密碼是668…而gmail無法協助掃毒…
看看avast是否能掃到?
而且還附上密碼668…真感恩耶…(昏)
標題寫的很聳動,我倒覺得還好,因為我信箱三不五時就收到一堆有的沒的信件,什麼哥哥不要啦…妹妹什麼的…
這回來的看來肯定又是騙人…好吧…就給你騙騙…大不了ghost回去…
不過以下實作是已有ghost過(不怕一萬,只怕萬一)避免有漏網之魚跑出去…影響後來之電腦運作,故不是很瞭解系統者就別嘗試了…
後果可不負責哦…
看下圖吧!
附檔是「美麗.rar」密碼是668…而gmail無法協助掃毒…
看看avast是否能掃到?
3月7日收到這封信,下載後avast竟然沒叫,於是就興沖沖的解壓,點下去後也沒做好準備,便出現了…
哦…nevys.exe要直接存取hd…
ok允許存取…於是在c:\windows\system32裡出現了這個傢伙…
又是一個不知內容摘要,莫名的檔案出現了…
這是開啟電腦一啟動時的檔案,立刻發現nevys.exe在裡面了…
不二話…立刻就給他刪掉…
nevys.exe也給他刪掉,沒想到,重開後就不斷的登入登出…
我的userinit.exe被刪掉了…唉…沒想到給他上當了說…(排謝,那天不知道在想什麼…)
後來ghost回去,我還原系統…
3月10日再重覆一下之前的動作…
還沒執行「美麗.exe」之前windows裡的東西…計有130個項目…
而c:\windows\system32目錄下…計有2271個項目。
執行過後…產生一個,不過檔案大小是「0k」?
怪…再試一次…(cgobk真怪名字,英文沒這字)
還是一樣…(英文也查不到這字)
再試第三次…
成功了…檔案大小「93.3k」,MD5 (D:\MD\備份區\temp\美麗\zzenc.exe-vir) = 2FF13E566A6E8F031C0514DA7F1B3026
接著去看啟動部份…
果然料中了…,躲在裡面…
而windows下的項目多一個pif…是不是「美麗.exe」所產生的?不是很清楚…
產生時間與實作時間差不多,但裡面是空的…
system32裡多了二個「0k」的檔案,和一個「zzenc.exe」共三個檔,於是變成2274個項目(原為2271)!
啟動項目裡,看到沒,最後一排!
嗯…還要重新啟動才能用?我用手動的方式好了…看看這個zzenc.exe要蛋麻?
想控制explorer?嗯…允許啦…八成是要透由網路取得檔案肥來…
害我在netlimiter那裡等了好一陣子,防火牆也沒動作反應,封包也沒在跑…
嗯…可能在等我「螢幕保護」時作動吧?
丫…懶的管了…我看看的登錄檔(啟動userinit.exe)裡被寫了什麼東?
哇咧!又來了,難怪每次在「啟動」裡刪掉時,userinit.exe連同被刪掉,造成無法「登入」的情形…
機碼改回原來的「C:\WINDOWS\system32\userinit.exe,」後沒多久又被改回來…
直搗黃「蟲」…結果這傢伙被explorer給鎖住了…
用unlocker解開後,登錄碼還是被鎖(無法改回),哇咧!真是愈來愈有趣了…
後面在程序裡發現了這個東…
原因是「用戶名稱」?沒有,怪怪的…先中止說…看來不是system的,應該不怎麼重要…
不過一般正常來說都是如此(都會有),而我解除被寫入登錄檔時是停止該項程式,可能已遭命令修改執行了吧?
忘了當時去看哪個傢伙去鎖regedit.exe檔了…(如有高手或錯誤處請留言,感謝!)
哦…好玩囉!…接下一個動作喲!
嗯…ok了…也解掉登錄檔被鎖的情形…
嗯…解掉了…
家族集合…
周董,你現在是越來越厲害了,一直在進步,我完全看不懂。近來可好?
回覆刪除學長,好久不見…最近很OK丫…不過很少看到學長上網和非死不可說…至於越來越厲害了,倒是不敢,頂多是學習學習而已,那也得感謝朋友及同學們提供一堆中毒和有毛病的電腦,給學弟有學習的機會丫…呵…
回覆刪除