|
|
此文章由 honester 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 honester 所有!转贴必须注明作者、出处和本声明,并保持内容完整
我向来是不惮以最坏的恶意来推测外国人的,然而我还不料,也不信竟会下劣凶残到这地步!
我搜一个realtek 无线网卡驱动程序,找到一个外国驱动网站,看上去还挺像的!分门别类的什么驱动都有!
而且每个驱动都有说明,适用什么芯片,什么厂商!看上去真是真实无比!
下载的速度非常慢,十几兆的速度,接连断线,其实这时候你就应该警醒了,这是什么网站,会这么慢!后来我分析,这是私有服务器,因为不会有大的cloud厂商会允许这种大量病毒木马的网站在他们那里host的!
下载之后解压,里面有两个exe程序,WiFiAutoDriverSrv 等,我没有点击,相反是用windows update driver方式来更新驱动,意外的是,windows根本不承认这个驱动好使!无奈我就点击了这个exe程序,当真是危险万分呢,点击之后,什么都没有发生,一闪而过!
如果是一般人也就一笑而过了,根本不会多想,就认为驱动不好使就完了,我却嗅到危险的信息,不顾一切地要追索真相。
我查看了event log, 分析了今天发生的一切可疑event, 结果发现这个程序,是一个msi 安装程序,把自己伪装成dll驱动,骗过windows, 成功地安装了,至于它要干什么,肯定不可能是什么好事!
我就急了,用power shell 查看所有可疑进程,列出来它当前 service 名字和存在的路径,并试图停止进程,结果通知我不能停止,因为它级别非常高,是系统级别的,不是有鬼至于这样吗,我从admin启动powershell, 停止了它的进程,删掉了它的文件路径,它把文件路径编成乱码,只有自己能访问,系统都搜不出来!又编写power shell 找到了它存在的注册表键值,也删掉了,竟然鬼祟地把自己放入service中,每次重启都要运行!经过几番删除,终于删干净,重启动后不再运行。我不放心,又编了power shell程序,搜索一切非微软认证的,路径可疑的 service,果然搜出来一些,不过都不算是木马。
太危险了,我奉劝大家千万不要运行一切网上下载的不明程序,因为人心太坏了! 这些人下贱到极点了!为了黑你,不惜做了一个假驱动网站,一切都是假的,所有的驱动都是垃圾文件,就改个名字,根本不能运行,只有这个木马exe程序是真的!就是骗你点击这个exe,就大功告成,恐怕99%的人都要中招,木马盘踞了所有电脑,还不是为所欲为?捕捉你的键盘,搜索你的密码存储,你电脑变成透明!
最后我送上我的powershell程序,大家可自查:
# Filename: Scan-SuspiciousStartupServices.ps1
# Purpose: 扫描系统中可疑启动项与服务
Write-Host "=== 可疑启动项与服务扫描 ===" -ForegroundColor Cyan
function Is-SuspiciousPath($path) {
return ($path -and $path -notmatch "Windows|Program Files|System32|SysWOW64")
}
# ---------- 1. 注册表启动项(路径异常) ----------
Write-Host "`n[1] 注册表中可疑启动项:" -ForegroundColor Yellow
$startupKeys = @(
"HKLM:\Software\Microsoft\Windows\CurrentVersion\Run",
"HKCU:\Software\Microsoft\Windows\CurrentVersion\Run"
)
$excluded = @(" SPath", "SParentPath", "SChildName", "SDrive", "SProvider")
foreach ($key in $startupKeys) {
try {
$props = Get-ItemProperty -Path $key
foreach ($entry in $props.PSObject.Properties) {
if ($excluded -notcontains $entry.Name) {
$val = $entry.Value
if ($val -and (Is-SuspiciousPath $val)) {
Write-Host "❗ [$($entry.Name)] -> $val" -ForegroundColor Red
}
}
}
} catch {
Write-Host "⚠️ 无法访问 $key" -ForegroundColor DarkGray
}
}
# ---------- 2. 启动文件夹中的可疑文件 ----------
Write-Host "`n[2] 启动文件夹中可疑启动文件:" -ForegroundColor Yellow
$folders = @(
"$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup",
"$env rogramData\Microsoft\Windows\Start Menu\Programs\Startup"
)
foreach ($folder in $folders) {
if (Test-Path $folder) {
Get-ChildItem -Path $folder | ForEach-Object {
if ($_.Extension -in @(".exe", ".vbs", ".bat")) {
Write-Host "❗ 可疑文件:" $_.FullName -ForegroundColor Red
}
}
} else {
Write-Host "⛔ 启动目录不存在:" $folder -ForegroundColor DarkGray
}
}
# ---------- 3. 当前运行的服务(无描述或路径异常) ----------
Write-Host "`n[3] 内存中运行的可疑服务:" -ForegroundColor Yellow
$services = Get-WmiObject Win32_Service | Where-Object {
($_.State -eq "Running") -and (
(-not $_.Description) -or (Is-SuspiciousPath $_.PathName)
)
}
foreach ($s in $services) {
Write-Host "❗ 服务:$($s.Name)" -ForegroundColor Red
Write-Host " 描述:$($s.Description)"
Write-Host " 路径:$($s.PathName)"
}
Write-Host "`n=== 可疑项扫描完毕 ===" -ForegroundColor Cyan
|
评分
-
查看全部评分
|
【说说小生意的那些事】--做商业清洁的投资移民大哥 (2010-1-26) 大山 
发表于 2025-8-7 13:29
