黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人(6)

如上图所示，病毒代码运行后会下载 “[down]”标签后的两个文件，item.dat和c.bat。item.dat为后门病毒，c.bat则会关闭135、137、138、 139 和 445 端口（起初“隐匿者”不会关闭端口，该部分为后期新添加的功能）。如下图所示：

用于关闭端口的c.bat脚本内容

在“[cmd]”标签后存放的是病毒需要执行的批处理脚本，该脚本首先会创建后门账户，之后会删除其他黑客留下的后门账户并结束与其他入侵相关的病毒进程，其中包括利用“永恒之蓝”漏洞挖取门罗币病毒事件的相关进程。如下图所示：

脚本部分结束的进程列表

（编辑：ASP站长网）