今天早上刚上班,就收到一个好友发来的一个文件,文件名字是“订购明细.rar” ,当时的直觉告诉我,这东西十有八九就是病毒,首先我和他并没有生意上的来往,其次我的工作和订购没有任何关系。
既然发来了,那就收了呗,反正没什么怕的。。解压后发现这个图标确实做的很真实,只不过我电脑打开了文件扩展名的显示,当我看到.exe后已经百分之百确定它就是病毒了
发现文件类型后,我给他发了条消息,得知他也是从别人那接收到的文件,只不过他却没有防备的打开了。。。其实这个人也是做电脑维修的,这点防备心都没有。。。唉。他问我是不是打不开,我醉了,这还用打开么?看到这个后缀就直接不要点啊。。
我当时还纳闷了,360为何没有提示呢,用360对该文件单独扫描也没有发现异常。。看来已经做了免杀了,而且是最新做出来的。。。
不过我依然不死心,既然收到了这个文件了,总得分析一下这个东西是个什么鬼吧?上传到知名的云查杀平台,发现该文件有六个杀毒引擎是报毒的。。。而且多款国内杀毒都没有扫描出该文件的危险,病毒库也都是最新的。。看来该作者是做了充分的免杀工作的。
下面这张图是该平台分析得出的网络行为和其他行为。套接字,是支持TCP/IP的网络通信的基本操作单元,可以看做是不同主机之间的进程进行双向通信的端点,简单的说就是通信的两方的一种约定,用套接字中的相关函数来完成通信过程。
为什么一个文档要有这个行为呢??我想大家已经明白了!!