廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3206 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[心得分享] 目前網路常見病毒整理帖 2008-12-06
目前網路常見病毒整理帖 2008-12-06

灰鴿子 Backdoor/Huigezi

  灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優秀的遠程控制軟件。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。這就好比火藥,用在不同的場合,給人類帶來不同的影響。

  Backdoor/Huigezi.cm“灰鴿子”變種cm是一個未經授權遠程訪問用戶計算機後門。“灰鴿子”變種cm運行後,自我複製到係統目錄下。修改註冊表,實現開機自啟。偵聽黑客指令,紀錄鍵盤,盜取用戶機密信息,例如用戶撥號上網口令,URL密碼等。利用掛鉤API函數隱藏自我,防止被查殺。另外,“灰鴿子”變種cm可下載並執行特定文件,發送用戶機密信息給黑客等。

autorun 隨身碟(U盤) 第二代(資料夾.文件夾)

最初的病毒檔案,利用電子郵件散布,或藉由瀏覽器漏洞,下載到個人電腦上執行。一般會在C:\WINDOWS\system32建立一病毒執行檔(如sysudisk.exe),偽裝成開機常駐程式。

受病毒感染的電腦(Windows 作業係統)上,會在各分割區(c:\,d:\,e:\…)建立隱藏的係統檔案 autorun.inf ,並建立一隱藏係統資料夾來存放其病毒執行程式(udisk.exe,shell.exe),資料夾名稱會偽裝成recycle或recyled(病毒會變種而有不同的資料夾名稱), 確保重灌作業係統後也能繼續感染該主機。

當使用者將USB裝置插入受病毒感染的電腦、掛載網路磁碟機、新增分割區,受病毒感染的電腦會將病毒複製到USB裝置、網路磁碟機、新增分割區。

當受感染的USB裝置插入到其他電腦時,因Windows 作業係統內的自動播放或執行用功能預設是啟用,所以USB內的autorun.inf 內的指令會被執行,而成為繼續傳染其它電腦的帶原者。

因USB裝置具有可攜性與便利性,且Windows 作業係統內的自動播放或執行用功能預設是啟用,使得受感染的USB裝置快速傳播病毒。

這是另一種文件夾圖標病毒,同樣具有Autorun屬性。該病毒是用易語言編寫,運行後會在係統目錄下生成類似XP-8B618895.EXE的病毒副本,其中8B618895是隨機的,並搜索移動設備,生成autorun文件,並根據移動存儲設備根目錄文件夾名生成同名EXE文件,並將原文件夾隱藏起來。另外病毒還會
刪除臨時文件及Cookies,刪除IE訪問記錄TypedURL。

ORZ下載器

ORZ是網路流行語,又被稱作腦殘文或火星文。囧rz “/口\”失意體前屈,囧讀作“炯”

失意體前屈,原本指的是網絡上流行的表情符號:_| ̄|○ 它看起來像是一個人跪倒在地上,低著頭,一副“天啊,你爲何這樣對我”的動作。這個符號用在ORZ病毒的現象上,真是非常之形象。 例句;我買的球隊又輸了,真Orz!

最近Adobe Flash Player漏洞引起安全廠商的高度關注,因爲Adobe的産品缺少象微軟那樣的補丁管理係統,該漏洞的影響可能會持續較長時間。已經發現很多木馬下載者利用該漏洞傳播,並且部分利用Adobe Flasy Play漏洞傳播的木馬下載器完成任務後會刪除自身,增加了捕獲樣本的難度。

NS下載器
混合型新病毒 超越機器狗的NS下載器
NS下載器繼承了機器狗病毒穿還原卡的功能,利用ARP攻擊在局域網傳播。同時,病毒還有掃蕩波的特點,攻擊沒有修補MS08-067號漏洞的Windows係統。當然利用U盤自動運行功能傳播,已經差不多成爲病毒的標配。

爲了下載更多木馬,類似的下載者都會選擇和AV終結者一樣的手法——映像劫持或利用自身驅動強行關閉殺毒軟件進程,修改hosts文件阻止用戶訪問殺毒廠商的網站,影響殺毒軟件的升級。

HBkernel系列病毒(蝗蟲軍團)病毒
1.映像劫持殺軟、防火牆和許多安全輔助工具,最近也發現有少量劫持輸入法的情況。
2.破壞lsp
3.病毒在係統中的drivers目錄中釋放一個HBkernel32.sys的驅動文件,該驅動文件既可以保護病毒不被清除,又可以破壞殺軟的監控能力
4.病毒文件system.exe(通常是隱藏的)會在注冊表中添加一個啓動項用於病毒的隨機啓動,同時還會加載驅動文來恢複SSDT表,從而讓殺軟失效。
5.修改注冊表AppInit_DLLs項目,將許多hb***.dll文件插入到係統的進程中。
6.有些出現無法複制粘貼的問題,rpc服務被破壞,解決方法 可以從相同係統的機子上電腦上壓縮rpcss.dll這個文件,然後解壓到本機係統目錄system32下和system32\dllcache文件夾下,再在運行中打入services.msc,找到Remote Procedure Call (RPC),右鍵點啓動。或者正常的相同版本的係統從注冊表導出這一項,雙擊修複 最後附有幾個常見係統的這個文件



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2008-12-06 18:25 |
liujenha 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
風雲人物
級別: 風雲人物 該用戶目前不上站
推文 x0 鮮花 x4768
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

原來還有這麼多種病毒


獻花 x0 回到頂端 [1 樓] From:臺灣中華寬頻網 | Posted:2008-12-06 22:48 |
troyboy
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x3
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

裝好的防毒軟體,就不用擔心這些了,讓電腦公司擔心吧
像諾頓更新速度就很快所以我很推薦你去買,現在資訊只還有買一送一的優惠喔
而且好像買雜誌也有送


獻花 x0 回到頂端 [2 樓] From:沒有資料 | Posted:2008-12-07 15:59 |
yoyo_chris
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

這實在是太恐怖了


獻花 x0 回到頂端 [3 樓] From:臺灣中華電信HINET | Posted:2008-12-12 14:54 |
ek390029
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x2
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

病毒真的是無所不在
除了裝好的防毒軟體
自己還是要多多注意吧
不然還是容易中招


獻花 x0 回到頂端 [4 樓] From:歐洲 | Posted:2008-12-14 21:31 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.079000 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言