中午吃飯的時候,表妹突然說道:“唉,不知道怎麼搞的,我的系統最近慢得要命,你們誰幫我看看啊?”我心想:“這裏除了我懂電腦,誰還會啊,明明就是說給我聽的,只是大家心照不宣罷了。”於是來到表妹家為她進行檢測。經過認真的查找,終於在系統中發現了大名鼎鼎的灰鴿子木馬。www.sq120.com推薦文章
由於表妹及時給系統打上補丁,所以不可能被駭客通過網頁木馬利用系統漏洞進行入侵,那木馬又是從何而來呢?我聯想到最近無意間從網上看到一篇文章,文章介紹了一款可以見縫插針的軟體RobinPE。這款軟體可以將惡意程式插入到一個可執行檔中,而且被插入的檔大小不會發生改變。當用戶每次正常啟動這個檔後,被插入的惡意程式就會悄悄的釋放出來,並在後臺秘密的運行。
想到這些我便問表妹:“最近有沒有下載什麼可疑的程式啊?”表妹想想,回答道:“前段時間,我下載了一個最新的MSN 8,還是綠色版的。”我知道,所謂的綠色版,其實就是一些網友製作的修改版,也許木馬程式就隱藏在這個MSN 8中。經過檢測我發現這個MSN 8是通過UPX經過了加殼處理的,於是更加懷疑這個檔。果然解殼後,發現在這個所謂的“綠色版”MSN 8裏面捆綁了灰鴿子木馬,看來我的猜測沒有錯。
不管這麼多,先將表妹電腦中的灰鴿子清除掉(清除灰鴿子木馬的方法在《電腦報》今年第12期F6版中有介紹)。本來問題解決了就應該沒有什麼事情了,可是表妹是個打破沙鍋問到底的性格,什麼事情都想知道個徹底,於是又央求我給她講這個捆綁了木馬的檔是怎樣產生的。沒法子了,我只好再來研究這這個捆綁了木馬的檔的產生過程。
“強悍的”注入捆綁 |
