| |
中午吃饭的时候,表妹突然说道:“唉,不知道怎么搞的,我的系统最近慢得要命,你们谁帮我看看啊?”我心想:“这里除了我懂电脑,谁还会啊,明明就是说给我听的,只是大家心照不宣罢了。”于是来到表妹家为她进行检测。经过认真的查找,终于在系统中发现了大名鼎鼎的灰鸽子木马。www.sq120.com推荐文章
由于表妹及时给系统打上补丁,所以不可能被黑客通过网页木马利用系统漏洞进行入侵,那木马又是从何而来呢?我联想到最近无意间从网上看到一篇文章,文章介绍了一款可以见缝插针的软件RobinPE。这款软件可以将恶意程序插入到一个可执行文件中,而且被插入的文件大小不会发生改变。当用户每次正常启动这个文件后,被插入的恶意程序就会悄悄的释放出来,并在后台秘密的运行。
想到这些我便问表妹:“最近有没有下载什么可疑的程序啊?”表妹想想,回答道:“前段时间,我下载了一个最新的MSN 8,还是绿色版的。”我知道,所谓的绿色版,其实就是一些网友制作的修改版,也许木马程序就隐藏在这个MSN 8中。经过检测我发现这个MSN 8是通过UPX经过了加壳处理的,于是更加怀疑这个文件。果然解壳后,发现在这个所谓的“绿色版”MSN 8里面捆绑了灰鸽子木马,看来我的猜测没有错。
不管这么多,先将表妹电脑中的灰鸽子清除掉(清除灰鸽子木马的方法在《电脑报》今年第12期F6版中有介绍)。本来问题解决了就应该没有什么事情了,可是表妹是个打破沙锅问到底的性格,什么事情都想知道个彻底,于是又央求我给她讲这个捆绑了木马的文件是怎样产生的。没法子了,我只好再来研究这这个捆绑了木马的文件的产生过程。
“强悍的”注入捆绑
|
|
