繼續以 help.exe 這個範本來實驗 ==== 自解壓 ==== help.exe 是一個處理過的執行檔，它會先執行自解壓。 在同目錄下產生以下三個檔: 1. help.exe:Zone Identifier 2. help.exe.Manifest 3. help.exe.Local ==== 執行期 ==== 解出真正的 help.exe 後，它會先修改 Registry， 然後藉由 Explorer 從 www.tw7890.com 網站上下載兩個檔。 1. /PATH_IS_MASK/aa.rar 2. /PATH_IS_MASK/aa.exe 這兩個檔才是真正的感染源。我想原作者的變種感染是更動此兩個檔案。 help.exe 對 registry 的更動，目的要是想要隱藏 aa.rar, aa.exe 的行為， 然後藉由 aa.rar 與 aa.exe 執行真正的侵入行為。 ==== 後語 ==== 這個案例指出安裝 Firewall(防火牆) 的重要性。 當 Anti-Virus 無法在感染初期防止時，Firewall 可以禁止惡意網路連線。 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.109.22.169