90后也玩盗号 手段老套依旧缺乏创新

20110518120357919.jpg20110518120357108.jpg

红色字是对方,发了两个实际上就是“叉叉”的图片,然后借口网速慢,发给笔者一个文件夹。文件夹内是一个exe执行文件――简单伪装成了“图片”的图标。然后骗笔者打开,笔者反其道而行之,告诉对方点了没反应,对方就急了――其实有很多可能会造成点了没反应,例如运行库不完整(反汇编了发现是VC++ 2005的运行库),例如操作系统不对,笔者用的是windows server 2008 R2系统,一来是64位,二来是server系统,注册表位置全部不一样。虽然笔者没有装杀毒软件,这个小木马想正常运转还需要完善些。

于是对方又发来一个tar文件,这个厉害一些,是一个压缩包的命令行文件。笔者推测是可以自动解压运行其中的木马的,等于是加了一个合法的“壳”。由于笔者没有杀毒软件,因此不知道他传来的木马是否做过免杀处理,包括代码移位和加各种壳。

好了,欣赏一下两个病毒文件――

其实最好的防火墙是你的大脑,装完系统开启已知扩展名显示,这就一目了然,两个文件的扩展名。另外,缩略图模式下,不显示缩略图,当然不是我的问题――小黑客看是不可成,就拉黑我下线了。还有待磨练啊!

笔者部署好了一个虚拟机XP环境,下次就故意在虚拟机里运行他的木马中招,看看他想干什么,能干什么――放在沙盒里观察

Advertisements

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s