国外的挂马方式比熊猫烧香还招摇
今天我罗大侠居然神奇的中了国外一款病毒,Nod32报“Win32/TrojanDownloader.FakeAlert.DJ 特洛伊木马”。真是太为难罗大侠了,经常出入于国外论坛,力顶友邦的AV事业。居然让他中招了,友邦人土太不厚道了。这款病毒属于BMP捆绑型病毒,由于我对病毒的“行情”不了解,这种技术应该属于比较老的了,不过居然让我罗大侠给碰上了。
让我感兴趣的是该病毒特有的绑定方式,比熊猫烧香招摇多了。熊猫不就改了一个小小的ICO嘛,这个病毒到挺狠。直接将绑了毒的BMP的图片,设成了桌面背景。那图片上还用
蓝底黄色三号字
,告诉他你已中毒。罗大侠差点就气晕过去了,什么玩意。还有这样折腾的病毒。打开我的“显示属性”居然改不了墙纸,墙纸和屏幕保护选项卡均无,如下图:
正常的“显示属性”应该是这样的:
晕得了,直接把设置接口给隐藏了。
这样的国外高档货360也熟视无睹,伤得了,看样子只能手工杀了。没想这病毒和天朝强大的插件,驱动木马想比,自我防御能力太差了,可以说是秒杀,充其量就一恶搞程序,如果他不绑马我还真不会当他是病毒。
打开注册表如下选项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“NoDispBackgroundPage”=dword:00000000
“NoDispScrSavPage”=dword:00000000
再找开显示属性,就正常了。到系统目录下Delete掉,那个BMP,收工。
根据这一思想还真可以做个恶搞程序,胡弄菜鸟,做张图上面写上”XXX欠我多少钱,什么时候还?“之类的,在XXX的机器上一运行。呵呵,让他不还钱,^_^。
放上病毒样木,我只看懂了前半截BMP结构部分,病毒代码到是没看出来。如果哪位看出来了,将数据给导出来,让小弟学习一下,谢谢。
trojan-virus-sample (3.8 KiB, 463 hits)
13 条评论
这个病毒样本的文件扩展名是什么啊?
.exe ?
.dat ?
就是 一张BMP.
有点意思。
现在知道我错在哪里了,确实应该是public,书上那个函数是自己写的,但是没有讲怎么写他就自己用了,晕死 坏书真害人啊~~~
哈哈,对这些书需要批判的接收。记得当时学的时候,也买了一本烂书,看的头大。
哈哈,力顶友邦的AV事业,这话说的真好,学习了!!问大哥一个MFC的问题
事先已经创建“string Table”,ID_INDICATOR_MOUSEPOS,然后也把这个插入到Static UINT indicators[]里面了,书上说这么些:
void CUserInterFaceView::OnMouseMove(UINT nFlags, CPoint point)
{
// TODO: 在此添加消息处理程序代码和/或调用默认值
CString str;
str.Format(“当前位置是:(%d,%d)”,point.x,point.y);
CMainFrame* pMainWnd=(CMainFrame**)AfxGetMainWnd();
ASSERT(pMainWnd->IsKindOf(RUNTIME_CLASS(CMainFrame)));
pMainWnd->updateMouseposIndicator(str);
CView::OnMouseMove(nFlags, point);
}
可我在实际操作的时候却提示pMainWnd-中没有updateMouseposIndicator这个成员函数?这是怎么回事?
updateMouseposIndicator是public的吗?
罗晓会看AV?
不相信,打死我也不相信!
我认识的那个罗晓一直都是很正派的,很洁身自爱的。
不可能,绝对不可能。
你们一定搞错了
此罗晓非彼罗晓!
什么逻辑看一下AV,就不洁身自爱了?就不正派了?那我见过的男人没正派的了。
我承认,我有罪,我不该包庇去黄网的罗晓
罗晓虽是我兄弟,但是我不能包庇他
为了奥运,为了人间正道
斩立决才是唯一正道!
我很痛心
—— 晓罗 书
嗯,罗晓其实很正派的
我可以作证
至于那个charles
此人狗屁倒灶,我认识他
经常散播靡靡之音
我不太happy
罗大侠就是罗晓
此人心术不正,我认识他
经常去逛黄色网站
该他中毒……
我happy
男人总要有点爱好嘛,哈哈,可以理解。