這隻病毒是靠 MSN 到處流傳的,他會產生一張圖片和一隻 server.exe 的檔案
簡易的分析如下:
透過 wget 抓取該網站,他會導引出一隻 jpg.scr 類的螢幕保護程式。
jpg.scr 是一隻含有圖片、 server.exe 、 a.bat(包含在 zip 內部,解壓縮不會出現),
然後可以使用 strings 指令取得內部的一些字串,可以發現似乎是用 Delphi 寫成的。
用 wine 跑 dede 反組譯取得目標 server ip ,便可取得遠端目標。
再來要怎樣或是把遠端機器放入 NAT 黑名單也可以。
沒有留言:
張貼留言