作者: 甘肃老五, 出处:IT专家网, 责任编辑: 张帅,
2008-02-20 11:29
最近,“艳照门”闹得沸沸扬扬,朋友猎奇,不幸中招。笔者帮其恢复系统,询问了中马经过,下面搭建测试环境还原过程,并对该木马进行分析与清除。
【IT专家网独家】测试环境
下载软件:迅雷
杀毒软件:瑞星2008(打了最新补丁包)
一、中招过程
朋友好奇,寻找艳照门图片。在百度某贴吧中看到一条信息,提供艳照下载,并且给出了链接地址“http://guilin123.*.com/yanmenzhao.rar”于是迫不及待地用迅雷下载,下载的过程中“迅雷安全中心”弹出病毒威胁警告对话框,由于是测试忽略,点击“继续下载”。(图1)
为了测试,笔者的迅雷设置了“下载完成后杀毒”。下载完成后,瑞星病毒扫描后提示“发现2个病毒,清除失败!”(图2)
二、病毒分析
下载完成的这个名称为yanmenzhao,大小为1.04M文件是个压缩文件,后缀为rar。右键单击选择“解压到yanmenzhao下”,解压后为yanmenzhao.exe,其后缀为exe,这是个自动解压文件,估计攻击者一定在其中做了文章。(图3)
