最近呢一直在看源代码,一直看到我腰酸背痛腿抽筋眼眶冒金星为止......为了挽救下我宝贵的身体,我必须得到网上去找一些搞笑的视频来放松下自己。好在网上有一些搞笑的视频可以让我来放松一下,另外还多的是,就在我打开一个自动解压缩包的时候,突然出现了两个东西,而且就一闪而过其中的一个就消失不见了,当然剩下的那一个就是我要看的东西了。我立刻感觉到情况不妙,那个不见的文件是什么东西呢?于是我用WinRAR打开那个压缩包进行检查,哈哈,果然被我检查到了,想阴我你还太嫩了。
这个“Setup=open.exe”是什么东西呢?我们用WinRAR单独解压缩来看看,解压缩后我首先想到用PEiD对open.exe进行检查。
我去,居然还加了ASPack的壳,看来我得先要脱掉它才可以。我从看雪论坛找到了ASPackDie,选择要脱掉的程序后很顺利的就把壳给脱掉了。我们脱掉壳以后,发现病毒是用C++编写的,现在,哈哈,它在我们面前就是赤裸裸的了。我们就赶紧用UE来看个究竟吧!大家在使用UE查看的时候一定要有耐心,虽然很长,但是其实许多有用的东西都是集中在一起的。
种马人接收使用的邮箱账号密码就已经赤裸裸的摆在我们的面前了,当然他的目的我们也已经知道了,上面的qq和梦幻西游已经很清楚的表达出了他的目的。而且似乎这位不速之客的来历也告诉我们了——红蜘蛛键盘记录。我们再往下查看,redspider.dll和redspider.exe估计就是服务端安装以后的东西了。
现在我们就得把他们请出我们的地盘了,要不然可是会趁我不注意危害我们的。我们先来看看启动项有没有什么问题,不看不知道一看吓一跳,这下还不把它自己暴露的更加彻底了,这么直接的把自己加入到启动项中。它所在的注册表的位置也很清楚的写在上面了。我们打开注册表,直接从中搜索redspider就可以轻松的找到它了,谁让它的名字这么简单,没有丝毫头脑与艺术性,清除之后我们就可以直接把它请出注册表了。然后我们来到system32目录,它就在哪里静静的等着我们,OK,删除之后我们的世界就可以清净了。