[中毒] 小心P2P上的偽軟體ADBEPHSPCS4_LS1.EXE
目前在網路上很紅的軟體ADOBE PHOTOSHOP CS4
有人利用P2P惡意散佈病毒
檔名ADBEPHSPCS4_LS1.EXE
先前ADOBE官方網站有提供試用版下載ADBEPHSPCS4_LS1.7Z
不過晚了我沒趕上只好尋求P2P
沒想到抓到兩個檔案
ADBEPHSPCS4_LS1.7Z
ADBEPHSPCS4_LS1.EXE
加上NOD32防毒沒有反應手殘按下去EXE
只出現一些錯誤訊息 本以為他會解壓7Z
結果是病毒哈哈~我還在很多台電腦上測試結果都中標
(想說2003系統可能不行換XP跟VISTA試試看)
病毒先產生批次檔在TEMP中然後下載應用程式載入3個DLL到系統中
載入一個ZXXXXX.SYS檔案 另外執行PING 還有些小動作沒有注意到
主要會變種產生3個DLL檔案名稱隨機 C:\WINDOWS\SYSTEM32\XXXXXXX.DLL
兩個用RUNDLL32.EXE常駐→刪的掉不過開機產生新的隨機檔案
一個嵌到WINLOGON.EXE←這個會修復另外兩個DLL,修復自身登錄檔(無法改登錄檔)
參考檔案1
請勿執行它是病毒本體
http://www.sendspace.com/file/iv12fb
參考檔案2
產生的3個DLL
http://www.sendspace.com/file/7bnq6a
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 123.193.150.15
→
10/19 20:47, , 1F
10/19 20:47, 1F
推
10/20 12:52, , 2F
10/20 12:52, 2F