最近,在搜检垃圾信息时,我偶然看到了这样一个很普通的邮件。它使用了一个很简单的编造八卦的伎俩,推测奥巴马的性取向,并提供了一个指向一个证明图片的链接。
这条垃圾信息没有什么特别的,但链接指向的这个具有双重后缀的,叫做“you.jpg.exe”的文件却有点研究价值。出于好奇,我把这个文件下载下来,检查它会干些什么事。
我首先做的是看看这个文件真正的文件类型。很显然,它不是一个关于奥巴马的图片,而是一个可以自解压的RAR文件。
通过RAR提取工具,我打开了这个自解压文件,看到了里面的内容。
解压了“you.jpg.exe”,检查里面的每一个文件,但发现它们都是经过加密的。于是,我在测试机上直接运行了“you.jpg.exe”,看看会有什么事情发生。双击它后,下面的这个图片跳了出来。嘿嘿,果然不是奥巴马。
在后台,下列文件被自动安装到了Windows System32目录下:
bpk.dat
bpk.exe
bpkhk.dll
bpkr.exe
inst.dat
pk.bin
而且,在注册表里创建了一个自动运行的autorun命令:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
bpk =
原文转自:http://www.aqee.net/pwning-a-spammers-keylogger/