脱壳后再Uedit32下查看发现了Autorun.inf 的代码。
所以可以肯定这个文件是木马下载者。遗憾的是没办法再程序里发现下载木马的地址。后面想到了抓包截取。于是搬出我们经常用来测试软件是否存在后门时使用的:影音嗅探专家
接着就是冒险本机运行了下载者:
抓包得到了网址
hxxp://user.free2.7716*.net/zwj/Ip.txt
hxxp://lmhk.go1.icpc*.com/Ip.txt
这些地址。知道的人一看就明白。这个是肉鸡上线用的反弹地址的保存文件