Facebook 標註點擊程式分析 / 解決方案 Pat2 - Black Space 黑杜科技

2016年5月17日 星期二

Facebook 標註點擊程式分析 / 解決方案 Pat2


大家好我是逆向分析人員King,
關於此病毒,根據之前的程式逆向分析,是沒有惡意代碼存在,同樣scr是偽裝檔名可以改成exe運。
而且病毒程序會檢測你的電腦是否有Chrome註冊表
(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionApp Pathschrome.exe)
此註冊表為取得Chrome的路徑。
如果有話話當你開啟程式後用下安裝將會下載檔案,下載文件的網址如下:


這個檔案有被使用壓縮檔密碼保護不過本人已成功取得壓縮檔內的檔案(在他釋放的資料夾取得的)
在本人的分析用電腦中,安裝會Google Chrome的lnk 
會變成指向“C: Program FilesGoogleChromeApplicationchrome.exe“ 
-extensions-on-chrome-urls -test-type -load-component-extension =”C:Documents and SettingsAdministratorLocal SettingsApplication DataGoogleUpdatechrome“

意思即是開啟Chrome時會順便調用-extensions-on-chrome-urls -test-type -load-component-extension =“C:Documents and SettingsAdministrator本地設置應用數據GoogleUpdatechrome

這裡的文件就是他所安裝的檔案。
因為不是安裝在Chrome瀏覽器的附加元件,所以如果要清除則刪除LNK指向的跟他釋放的檔案即可
如果需要的檔案本人幫忙清除檔案的話教育,請留下郵箱地址即可。

版權所有©2016黑色空間。轉載附上原稿連結,保留一切權利

沒有留言:

張貼留言