广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3226 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[心得分享] 目前网路常见病毒整理帖 2008-12-06
目前网路常见病毒整理帖 2008-12-06

灰鸽子 Backdoor/Huigezi

  灰鸽子是国内一款着名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。

  Backdoor/Huigezi.cm“灰鸽子”变种cm是一个未经授权远程访问用户计算机后门。“灰鸽子”变种cm运行后,自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,纪录键盘,盗取用户机密信息,例如用户拨号上网口令,URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外,“灰鸽子”变种cm可下载并执行特定文件,发送用户机密信息给黑客等。

autorun 随身碟(U盘) 第二代(资料夹.文件夹)

最初的病毒档案,利用电子邮件散布,或藉由浏览器漏洞,下载到个人电脑上执行。一般会在C:\WINDOWS\system32建立一病毒执行档(如sysudisk.exe),伪装成开机常驻程式。

受病毒感染的电脑(Windows 作业系统)上,会在各分割区(c:\,d:\,e:\…)建立隐藏的系统档案 autorun.inf ,并建立一隐藏系统资料夹来存放其病毒执行程式(udisk.exe,shell.exe),资料夹名称会伪装成recycle或recyled(病毒会变种而有不同的资料夹名称), 确保重灌作业系统后也能继续感染该主机。

当使用者将USB装置插入受病毒感染的电脑、挂载网路磁碟机、新增分割区,受病毒感染的电脑会将病毒复制到USB装置、网路磁碟机、新增分割区。

当受感染的USB装置插入到其他电脑时,因Windows 作业系统内的自动播放或执行用功能预设是启用,所以USB内的autorun.inf 内的指令会被执行,而成为继续传染其它电脑的带原者。

因USB装置具有可携性与便利性,且Windows 作业系统内的自动播放或执行用功能预设是启用,使得受感染的USB装置快速传播病毒。

这是另一种文件夹图标病毒,同样具有Autorun属性。该病毒是用易语言编写,运行后会在系统目录下生成类似XP-8B618895.EXE的病毒副本,其中8B618895是随机的,并搜索移动设备,生成autorun文件,并根据移动存储设备根目录文件夹名生成同名EXE文件,并将原文件夹隐藏起来。另外病毒还会
删除临时文件及Cookies,删除IE访问记录TypedURL。

ORZ下载器

ORZ是网路流行语,又被称作脑残文或火星文。囧rz “/口\”失意体前屈,囧读作“炯”

失意体前屈,原本指的是网络上流行的表情符号:_| ̄|○ 它看起来像是一个人跪倒在地上,低着头,一副“天啊,你为何这样对我”的动作。这个符号用在ORZ病毒的现象上,真是非常之形象。 例句;我买的球队又输了,真Orz!

最近Adobe Flash Player漏洞引起安全厂商的高度关注,因为Adobe的产品缺少象微软那样的补丁管理系统,该漏洞的影响可能会持续较长时间。已经发现很多木马下载者利用该漏洞传播,并且部分利用Adobe Flasy Play漏洞传播的木马下载器完成任务后会删除自身,增加了捕获样本的难度。

NS下载器
混合型新病毒 超越机器狗的NS下载器
NS下载器继承了机器狗病毒穿还原卡的功能,利用ARP攻击在局域网传播。同时,病毒还有扫荡波的特点,攻击没有修补MS08-067号漏洞的Windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。

为了下载更多木马,类似的下载者都会选择和AV终结者一样的手法——映像劫持或利用自身驱动强行关闭杀毒软件进程,修改hosts文件阻止用户访问杀毒厂商的网站,影响杀毒软件的升级。

HBkernel系列病毒(蝗虫军团)病毒
1.映像劫持杀软、防火墙和许多安全辅助工具,最近也发现有少量劫持输入法的情况。
2.破坏lsp
3.病毒在系统中的drivers目录中释放一个HBkernel32.sys的驱动文件,该驱动文件既可以保护病毒不被清除,又可以破坏杀软的监控能力
4.病毒文件system.exe(通常是隐藏的)会在注册表中添加一个启动项用于病毒的随机启动,同时还会加载驱动文来恢复SSDT表,从而让杀软失效。
5.修改注册表AppInit_DLLs项目,将许多hb***.dll文件插入到系统的进程中。
6.有些出现无法复制粘贴的问题,rpc服务被破坏,解决方法 可以从相同系统的机子上电脑上压缩rpcss.dll这个文件,然后解压到本机系统目录system32下和system32\dllcache文件夹下,再在运行中打入services.msc,找到Remote Procedure Call (RPC),右键点启动。或者正常的相同版本的系统从注册表导出这一项,双击修复 最后附有几个常见系统的这个文件



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2008-12-06 18:25 |
liujenha 手机
数位造型
个人文章 个人相簿 个人日记 个人地图
风云人物
级别: 风云人物 该用户目前不上站
推文 x0 鲜花 x4768
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

原来还有这么多种病毒


献花 x0 回到顶端 [1 楼] From:台湾中华宽频网 | Posted:2008-12-06 22:48 |
troyboy
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x3
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

装好的防毒软体,就不用担心这些了,让电脑公司担心吧
像诺顿更新速度就很快所以我很推荐你去买,现在资讯只还有买一送一的优惠喔
而且好像买杂志也有送


献花 x0 回到顶端 [2 楼] From:没有资料 | Posted:2008-12-07 15:59 |
yoyo_chris
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

这实在是太恐怖了


献花 x0 回到顶端 [3 楼] From:台湾中华电信HINET | Posted:2008-12-12 14:54 |
ek390029
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x2
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

病毒真的是无所不在
除了装好的防毒软体
自己还是要多多注意吧
不然还是容易中招


献花 x0 回到顶端 [4 楼] From:欧洲 | Posted:2008-12-14 21:31 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.026189 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言