关于“加壳工具Hackers packers.exe”
RIS2010 最新病毒库扫描该程序,不报毒。这是此程序欺骗性的表现之一。
1、运行Hackers packers.exe,选定待加壳文件(本例为桌面上的SREngLdr.EXE):
图1-2
2、Hackers packers.exe加壳后的“SREngLdr.EXE”。Hackers packers.exe将其自动命名为“hacker.exe”。无论你选择哪个文件加壳,生成物均是
一个1.17MB的packers.exe。这个packers.exe实际上是个恶意程序。RIS2010 最新病毒库扫描该程序,不报毒。这是Hackers packers.exe欺骗性的表现之二。
图3
3、双击hacker.exe,该程序在C:\WINDOWS\SoftwareDistribution\AuthCabs\目录下释放miss.exe。miss.exe就是灰鸽子释放器。RIS2010可杀之。
图4
4、关闭RIS2010所有监控,然后双击miss.exe,即刻在C:\WINDOWS\释放一只灰鸽子Hacker.com.cn.exe。
图5
5、双击miss.exe后,在未打开IE的条件下,进程列表中出现iexplore.exe进程。同时,可见到TINY防火墙拦截了一系列来自202.106.0.20的网络攻击(DNS SPOOF,见图5)。
图6
6、C:\WINDOWS\目录下可见Hacker.com.cn.exe
图7
7、这是这只灰鸽子Hacker.com.cn.exe的服务项:
图8
附上所有相关文件(解压密码:123)
附件: sample.rar (2010-2-23 8:54:19, 1811.95 K)
该附件被下载次数 387
用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
