glacier's blog

遭遇勒索软件

glacier — 2006-08-17 02:21

前几天接到一哥们求助，说是硬盘里的文档、相片和 MP3 等文件通通不见了，D 盘根目录留下一个名为“EncryptV2.0.exe”的程序和一份《使用说明.txt》，主要内容如下：

    【Encrypt V2.0】
    功能強大的商業數據保護軟件,讓您的機密不再被他人竊取.
    客服QQ : 4040458
    客服E-mail : encrypt2@163.com
    【精明軟件開發團隊】

程序行为追踪（API TRACING）

glacier — 2005-07-06 23:33

　　对木马类程序处理多了，就渐渐觉得静/动态手工分析过程在很大程度上都是重复劳动。总要先花半个钟头了解程序特性，手工分析时还生怕漏掉某项隐蔽的关键操作，导致最终清除不彻底。其实只要在主动安装木马的时候将API调用序列及相应参数做完整记录，就能极大减轻分析和清除木马的工作量。

阅读全文

又中木马了

glacier — 2005-05-04 22:34

看到有人在焦点的“编程讨论”、“软件交流”、“技术研究”三版同时发了名为《最新刷Q币软件,5月3日前有效》的帖子，感觉可能有问题。下载回来发现文件还做了加壳处理，便基本得出“该程序并非善类”的结论了。本来只想用OllyDbg跟踪一下程序自身的脱壳部分，然后看个大概就把帖子删了，不巧的是娟子忽然在窗外轻声呼唤，意乱情迷之下手一哆嗦就按了“F9”。

初步分析结果：

阅读全文