前一段时间arp病毒闹得挺凶,各个办公楼,宿舍楼都有电脑中毒。还好在网络中心各位同事的努力下,基本把这种类型的病毒控制住了。之前处理arp病毒的时候抓了些样本,现在正好有时间分析一下病毒的运行机制。
样本文件名:9.pif,大小:183916 byte,Md5:f91745985da2e6f2710316fcb690226c。其实病毒发作时还会释放运行一系列的文件,2.pif,4.pif,ms.pif…只是主要的扩展传播功能是在9.pif里,所以着重分析该文件。
Read the rest of this entry »