今天跟大家伙儿唠唠我昨天搞的那个“ej”的事儿,说起来有点折腾,但总算是给它弄明白。
起因:
昨天上班,有个同事跑过来跟我说,他电脑上冒出来一个文件,后缀是“.ej”,问我是啥玩意儿,能不能直接删。我当时也没见过,就让他先别动,我来瞅瞅。
过程:
我先让同事把那个“.ej”文件发给我一份,我拿到之后第一反应就是扔到虚拟机里跑一遍,看看会不会出啥幺蛾子。结果,双击打开,啥反应都没有,就像个哑巴一样,一声不吭。这反而让我更警惕,越是这种看起来没啥动静的,越有可能藏着猫腻。
我就开始各种查资料,又是百度又是谷歌的,结果搜出来的东西五花八门,有的说是压缩文件,有的说是某种程序的配置文件,还有的说是病毒伪装的。看得我头都大,感觉啥也没查到。
后来我换个思路,直接用文本编辑器打开这个“.ej”文件,想看看里面到底写些打开一看,嚯,全是乱码!不过在乱码里面我还是找到一些看着像网址的字符串。这下我就明白,八成是个下载器之类的东西。
为验证我的想法,我把那些网址字符串复制出来,放到虚拟机里挨个访问。结果,还真让我猜对!访问这些网址,会下载一些乱七八糟的文件,有的是exe程序,有的是dll文件,看着就不是啥好东西。
深入分析:
我把其中一个下载下来的exe程序拖到杀毒软件里扫一下,果然,报毒!说是啥“蠕虫病毒”,能自我复制,还会从网上下载恶意文件。我一听,这不就是个小流氓吗!
我又仔细研究一下那个“.ej”文件,发现它就是一个简单的脚本,里面写着一些下载链接和执行命令。只要双击运行,它就会自动从网上下载那些恶意文件,然后偷偷地在后台运行,干一些见不得人的勾当。
解决方案:
搞清楚原理之后,解决起来就简单多。我让同事把电脑上的那个“.ej”文件彻底删除,然后用杀毒软件全盘扫描一遍,确保没有残留的恶意文件。我又教他怎么设置杀毒软件,开启实时监控,防止以后再被这种小流氓给盯上。
这回搞“ej”文件的经历,真是让我长不少见识。以后遇到这种不认识的文件,千万不能掉以轻心,一定要先搞清楚它的来路和用途,再决定怎么处理。最靠谱的方法,还是扔到虚拟机里跑一遍,看看会不会出啥问题。还有,杀毒软件一定要装并且定期更新病毒库,这样才能防患于未然。
网络安全这玩意儿,真是得时刻小心!
还没有评论,来说两句吧...