继续以 help.exe 这个范本来实验 ==== 自解压 ==== help.exe 是一个处理过的执行档，它会先执行自解压。 在同目录下产生以下三个档: 1. help.exe:Zone Identifier 2. help.exe.Manifest 3. help.exe.Local ==== 执行期 ==== 解出真正的 help.exe 後，它会先修改 Registry， 然後藉由 Explorer 从 www.tw7890.com 网站上下载两个档。 1. /PATH_IS_MASK/aa.rar 2. /PATH_IS_MASK/aa.exe 这两个档才是真正的感染源。我想原作者的变种感染是更动此两个档案。 help.exe 对 registry 的更动，目的要是想要隐藏 aa.rar, aa.exe 的行为， 然後藉由 aa.rar 与 aa.exe 执行真正的侵入行为。 ==== 後语 ==== 这个案例指出安装 Firewall(防火墙) 的重要性。 当 Anti-Virus 无法在感染初期防止时，Firewall 可以禁止恶意网路连线。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.109.22.169