¿Qué tipo de programa es nima258369.exe?
A juzgar por el nombre del archivo, este archivo con extensión .exe no es un archivo requerido por el sistema. No se puede descartar la posibilidad de que se le haya cambiado el nombre; de ser así, no hay forma de saber por el nombre del archivo qué tipo de archivo es; en teoría, podría ser cualquier archivo cuyo nombre haya cambiado.
Capturas de pantalla de Microsoft China y la comunidad Linux muestran que algunos de los nombres de archivos no son archivos del sistema.
Por otro lado, parece más bien un nombre generado aleatoriamente por algún programa malicioso o de broma (puedes deletrear tú mismo la primera mitad de las letras en pinyin chino, los siguientes números no tienen significado)
Muchos virus y troyanos generan automáticamente nombres aleatorios para que los usuarios no puedan identificarlos por el nombre del archivo.
Las citas de artículos sobre virus y troyanos que generan nombres aleatorios son las siguientes:
"1. Completa aleatorización de elementos de inicio y nombres de archivos
1. Nombres de archivos Terminador AV aleatorio.
Esta categoría es una herramienta de descarga escrita por Yu Xiaohui. El nombre del archivo varía de una computadora a otra.
He encontrado tres tipos de generación de nombres de archivos. Uno de los algoritmos es obtener el número de serie del disco y procesarlo para obtener un número hexadecimal de 8 dígitos, y luego intercambiar los números en algunas posiciones del número hexadecimal de 8 dígitos y usarlo como nombre de archivo. para construir el CLSID para usarlo como entrada de arranque.
En segundo lugar, tiene una función que utiliza la clave y el número de serie del volumen del disco para generar un número hexadecimal de 8 dígitos que preespecificará una cadena. (como "popwinIe", "kowinIe", etc.) como nombre de archivo para generar la clave del programa, use la función de generación de números de 8 dígitos para generar un número hexadecimal de 8 dígitos como nombre de servicio y luego use el nombre del servicio como clave, use La función del generador genera una clave de Ethernet, usa la función del generador para generar el nombre del archivo exe y luego usa el nombre del archivo exe para calcular el nombre del archivo dll si puede invertir la función de número hexadecimal. , puede encontrar con precisión todo el contenido generado por el troyano y eliminarlo.
Esta variante del troyano es muy fácil de usar porque solo requiere modificar la cadena de clave (como "UokwinIe". ", "PopwinIe" , "kowinIe ", etc.) pueden generar nuevas variantes (muy probablemente generadas por el generador de troyanos).
Otro fenómeno interesante es que descubrí que las nuevas variantes de troyanos tienen un nombre de archivo dll específico generado en la máquina es el mismo que el nombre del archivo dll generado por la antigua variante del troyano (diferentes claves terminan generando la misma cadena)
Al mismo tiempo, el troyano también tiene la tercera variante. utiliza cadenas y números de serie de volumen de disco para calcular los nombres de servicios y archivos, pero cambia el algoritmo para generar números hexadecimales de 8 dígitos usando las funciones MD5Init, MD5Update y MD5Final, y la cadena final se genera mediante la generación del parámetro MD5Final en la función. Revertir este algoritmo lo elimina perfectamente, pero a diferencia del segundo algoritmo, esta variante no parece cambiar la cadena de clave, solo encuentro una variante con la clave "v3djwinIe"
2.Piaosue
Piaosue usa el tiempo como una semilla aleatoria para generar un nombre de servicio completamente aleatorio, dos nombres de controlador y un nombre de archivo dll, y hay un bucle sin fin del controlador para escribir elementos de inicio, lo cual es muy difícil de manejar.
2. Los elementos de inicio y los nombres de los archivos son parcialmente aleatorios. 1. En los elementos de inicio, el nombre del archivo exe es fijo y se utiliza para cargar el dll, y el nombre del archivo dll se genera mediante la información de la máquina. . El tipo de programa malicioso que encontré fue el troyano robador IGx. Este tipo de troyano generará IG.exe, IGM.exe, IGW.exe y una DLL con nombre aleatorio en el directorio de Windows. El nombre de archivo de la DLL es "una cadena de números MM.dll" o "una cadena de números WO". .dll". El nombre de archivo xxxMM.exe es fijo y se utiliza para cargar dll, mientras que el nombre de archivo dll se genera mediante la información de la máquina.
El nombre de archivo de este dll tiene el formato de "una cadena de números MM.dll" o "una cadena de números WO.dll", donde xxxMM.dll corresponde a IGM.exe y xxxWO.dll corresponde a IGW.exe. . El nombre del archivo exe es fijo para que sea fácil de encontrar. Sin embargo, el nombre del archivo dll se genera a partir de la información de la versión de la CPU obtenida mediante el comando CPUID, que varía de una máquina a otra.
2. Otra situación parcialmente aleatoria es más común en los programas publicitarios. Estos programas generalmente tienen varios programas, si son completamente aleatorios, les resultará más difícil encontrar sus propios programas y elementos de inicio. se hace semi-aleatorio. Por ejemplo, hay un troyano publicitario y los principales elementos y archivos de inicio que genera tienen un CLSID fijo, un elemento de servicio, dos dlls, un sys y un bin. Uno de los dlls tiene el mismo nombre de archivo que bin, y este dll es el dll al que apunta el CLSID. Otro dll tiene el mismo nombre de archivo que sys y el mismo nombre que el proyecto de servicio. Y el dll señalado por el CLSID tiene un nombre que comienza con win y los últimos 4 o 5 caracteres son los mismos que los últimos 4 o 5 caracteres de otro dll y sys.
3. El nombre del archivo es aleatorio, pero el elemento de inicio es fijo
El nombre del archivo de este tipo de programa se basa en cierta información de la máquina (como la información del disco) o el El generador de caballos de Troya se genera con información especificada por el autor del troyano (como algunos generadores de troyanos que roban números QQ, generadores de servidores de troyanos de control remoto), pero los elementos de inicio son fijos, como el CLSID y el nombre del servicio. y los elementos en ejecución están fijos.