-
-
在研究脱壳的同时,大家也要多留心一下呀!
-
发表于:
2004-10-10 23:56
4398
-
借个地方说一下本人这两天的遭遇吧,只是想给大家提个醒,以后多留意一下。
如果版主觉得是灌水,就请删帖吧,谢谢。
近日在电脑使用过程中发现如下问题:我是XP SP2操作系统, 这两天老发现系统文件夹内自动创建一个程序 D:\WINDOWS\system32\Rundll.exe 防火墙老是报警此程序要访问网络IP为:218.5.74.158:80后被我禁止连接,在IE中打开此地址会提示输入帐号密码,这让人更怀疑是病毒程序,看图标应该不是系统文件,程序使用了 ASProtect 1.23 RC4 压缩(系统文件不可能会使用此种压缩器),天网防火墙会报成QQ爱情森林木马,使用木马克星报为EXE关联木马,后进DOS下分别使用KVDOS,RAVDOS进行全盘查杀,结果无毒。再用卡巴斯基查杀无果。于是进行手工删除,但是此程序还是会不定时自动生成,用GHOST恢复系统后,他也会再次出现,进行全盘搜索只有系统文件夹里才能发现此文件,本人先后向江民和瑞星公司发求助信无人回答,下午只好格盘重装系统,一直用了几个小时没事,就在刚才本人在脱一个软件的ASProtect 1.23 RC4壳时,问题出来了
Rundll.exe 又出现并连接网络并且图标变成了那个脱壳机的骷髅图标,这让我摸不着头脑了,突然想起了使用PEID对stripper v2.07英文版主程序查壳,竟然也是ASProtect 1.23 RC4,看了一下文件大小为 234.610字节,立马晕倒。
于是赶快去作者主页重新下载了一个原版对比,原版为UPX压缩,文件大小只有111.616字节,这下明白了,一定是我以前下载的那个版本被捆上木马了,于是再次运行那个被动手脚的脱壳机,系统上主即生成 Rundll.exe 文件,删了再试
结果一样,再试作者主页上的原版,没有出现Rundll.exe程序,到刚才为止,痛苦了两天的心情终于解脱:此种情况估计只有两种可能,第一是文件在下载的网站上被人捆绑木马,第二是在使用stripper对文件脱壳时感染木马。或许第二个可能性不大,个人认为程序文件一下子增加一倍,应该会引发ASProtect的CRC校验才对,那样就不能运行了吧?应该是先捆了木马再重新加了ASPR壳。真是做梦都想不到的原因,杀毒软件都不报毒,谁能想起工具上会带毒。TND~
特提醒朋友们,需要工具时最好去作者主页上,或者信得过的大站下载以及各大
破解站寻找,当电脑感染病毒时也可以想想别的原因,仔细想想近期的下载操作有无可疑文件等。
好了,病毒清除了,俺心情也爽多了~~
[课程]Android-CTF解题方法汇总!