- UID
- 111037
- 帖子
- 340
- 主題
- 27
- 精華
- 0
- 積分
- 1020
- 楓幣
- 24732
- 威望
- 1014
- 存款
- 500
- 贊助金額
- 0
- 推廣
- 0
- GP
- 215
- 閱讀權限
- 100
- 性別
- 保密
- 在線時間
- 117 小時
- 註冊時間
- 2015-8-19
- 最後登入
- 2024-9-17
|
本帖最後由 黃金波斯貓 於 2016-7-29 16:35 編輯
如果你今天有看到此文且下載檔案並執行的人請繼續往下看。
這是惡意軟體,請馬上刪除,已經執行的人請看以下清除步驟 (以下以 XP 為例)。
- 在 C:\ 找 1.exe 刪除它
- 在 C:\windows 找 Cheat.exe ByPass.exe,有就刪除
- 開啟工作管理員處理程序找 duprua.exe,有就結束程序
- 在 C:\WINDOWS\system32 找 duprua.exe 刪除它
- 在 Windows 啟動資料夾找 scvost.bat 刪除它
- 以系統管理員執行 cmd,鍵入 sc delete HyperMonse
以上應該能清乾淨這壞東西。
小分析:
楓糖楓之谷外掛.exe 有加殼 (NsPack),於是脫殼分析。
它執行時會"釋放" 2 個檔案並執行。- Private Sub Form_Load() '4043C0
- loc_00404403: var_eax = Call Form1.釋放
- loc_00404422: var_eax = Call Form1.釋放2
- End Sub
複製代碼- Public Sub 釋放() '403F20
- loc_00403F7A: On Error Resume Next
- loc_00403F8F: var_28 = "C:\Windows\Cheat.exe"
- loc_00403FA3: If var_4052D4 = 0 Then
- loc_00403FAF: var_eax = %cobj
- loc_00403FB5: var_84 = vbNullString
- loc_00403FBF: GoTo loc_00403FCB
- loc_00403FC1: End If
- loc_00403FC1: var_84 = vbNullString
- loc_00403FCB: 'Referenced from: 00403FBF
- loc_00403FD6: var_54 = "CUSTOM"
- loc_00404045: var_eax = Global.LoadResData var_40, var_00402CB4, vbNullString
- loc_0040404A: var_6C = Global.LoadResData var_40, var_00402CB4, vbNullString
- loc_004040B0: Open var_28 For Binary As #1 Len = -1
- loc_004040C8: Put #1, var_38
- loc_004040D7: Close #1
- loc_004040E7: var_44 = var_28
- loc_00404106: GoTo loc_0040411E
- loc_0040411D: Exit Sub
- loc_0040411E: 'Referenced from: 00404106
- End Sub
複製代碼- Public Sub 釋放2() '404160
- loc_004041BA: On Error Resume Next
- loc_004041CF: var_28 = "C:\Windows\ByPass.exe"
- loc_004041E3: If var_4052D4 = 0 Then
- loc_004041EF: var_eax = %cobj
- loc_004041F5: var_84 = vbNullString
- loc_004041FF: GoTo loc_0040420B
- loc_00404201: End If
- loc_00404201: var_84 = vbNullString
- loc_0040420B: 'Referenced from: 004041FF
- loc_00404216: var_54 = "CUSTOM"
- loc_00404285: var_eax = Global.LoadResData var_40, var_00402CB4, vbNullString
- loc_0040428A: var_6C = Global.LoadResData var_40, var_00402CB4, vbNullString
- loc_004042F0: Open var_28 For Binary As #1 Len = -1
- loc_00404308: Put #1, var_38
- loc_00404317: Close #1
- loc_00404327: var_44 = var_28
- loc_0040434A: var_44 = var_28
- loc_00404358: var_eax = Kill &H4008
- loc_00404364: GoTo loc_0040437C
- loc_0040437B: Exit Sub
- loc_0040437C: 'Referenced from: 00404364
- End Sub
複製代碼 Cheat.exe 其實就是 duprua.exe (有加殼 ZProtect),變身成 Windows 服務開機伴隨著你,詳細在做什麼沒有分析 (懶...
ByPass.exe 會複製 2 份,一份是 C:\1.exe,一份則在啟動資料夾 scvost.bat |
-
總評分: 楓幣 + 29
威望 + 4
GP + 8
查看全部評分
|