PS: 希望大家不要让这个帖子沉下去,我发现点亮那个帖子的作者就是斑竹,所以我也不奢侈的希望斑竹点亮置定了。
这个东西我始终觉得不对劲,
重点※
首先他的启动
是将ups10.dll 这个DLL 写入到注册表内启动 !?
这个是疑点一。
接着,来看下他里面那些文件
一堆INI TXT 看着感觉没什么 对吧~
安全第一,我一个文件一个文件的看吧(可疑文件就要仔细检查)
初步看感觉没什么,随便写法上有写小小错误,但是这个我也不好太绝对说人家错了。
然后在 地图.ini 这个文件中发现了绝对错误!
//按指定级别到相应的地图,如果没有相应的等级,会往下搜索,比如现在35级,35搜不到,就搜34,34搜不到,就搜33级=41,那么35级也就是进
ID为41的图,也就是冰心,注意,后面是地图ID的10进制,且不能超过255
大家看着没什么对吧, 首先我给大家讲下 一般在脚本里 // 表示的就是注释的作用,他不会被程序执行到。但是有个要求,就是必须是//后接着的一整行 如果出现 回车换行 那么就说明他不是在 // 的列内了,而是单独出现,起作用的命令。
那么 他这个就有问题了, 大家看兰色和黄色那段,明显 进 后面换行了! 大家去看看自己的文件 是不是也这样。
这个是疑点二,脚本命令书写错误。
再来,就是 ups.dat 这个文件了
大家把扩展名dat 换成exe 就看到了,图标变了。
我相信,如果你懂点网络知识,或者知道灰鸽子,就应该知道 dat变exe 这种手法吧。
如果他是一个正常程序,为什么要用dat 改掉他本来的exe呢? 欲盖弥彰吗?
当然,检查的时候,并没有查出什么,但是这绝对是疑点吧。
然后我们回到第一点,那个写入到注册表的步骤。
看下他的代码:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"="d:\\ups\\ups10.dll"
写的挺有意思的,哈哈,跟我前几天处理的一个案子很像,或者说一模一样呢。
首先是他 能在系统启动时 15秒中启动 而且还可以自己改名字 然后最后一句
加载UPS10.DLL, 大家觉得很有意思吧~ 所谓外挂,就是辅助工具。
我们需要辅助的时候才用, 我不需要的时候,干嘛在我不知道的情况下自启动呢?
我没有说谁对谁错,大家自己判断。
最后我要说的就是,这种特征的病毒是一种可变种的病毒,很厉害的。我前几天刚给客户处理完。
然后补充下
UPS10.DLL 这个名字也很“巧合”的跟一种病毒名字一样。
那个病毒的介绍:
ups10.dll 病毒会在每一个可执行文件夹下生成ups10.dll文件 执行文件会调用这个动态链接库 所以 会死灰复燃 但是他不会随计算机启动 所以一般的杀毒软件查不到此病毒
这里大家可以看到,不一样了,但是还是调用DLL的,然后运行。
大家小心,人心险恶~~ 当然我也没直接说某些人怎么怎么的,一般很少人知道这些,大家多体谅吧。
对了,我估计啊,很多人会这么说: 你算哪个葱,我们愿意相信,愿意使!
这我也没办法,我只是在阐述我的观点。 我嘛,不是葱,我是中国网安的站长。从事网络安全维护,网络调查取证,网络培训,网站建设什么的。大家信也好,不信也好,我只是提出来给大家听。
