广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 5535 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
国防部发现新的USB恶意程式攻击模式
国防部发现新的USB恶意程式攻击模式

  国防部近期发现第二代USB Worm恶意程式攻击模式,当使用者将USB储存媒体插入已受感染的电脑后,恶意程式将对该储存媒体执行攻击,除可能将该USB储存媒体植入 Autorun.inf以及Notepad.exe等恶意程式外,亦可能于恶意程式侦测到该USB储存媒体存有资料夹时,将该资料夹强制隐藏,并产生与原资料夹名称相同的恶意程式。 国防部通资次长室指出,当使用者将已遭第二代USB Worm恶意程式攻击的USB储存媒体插入其它干净的电脑后,将造成此干净的电脑遭恶意程式植入,并于C:OINDOWSOystem32目录下随机产生不同档名之资料夹及恶意程式;且恶意程式植入后主动对外连线至网址baidu.com...,经解析其IP为201.108.22.8,恐遭有心人士趁机而入。

  针对第二代USB Worm骇客模式,通次室特地说明该技术为利用第一代Autorun.inf机制启动恶意程式,进一步利用使用者在USB储存媒体内所储存的资料夹,藉由将原始资料夹隐藏后,并产生与原资料夹名称相同之恶意程式,即便受害电脑已将Autorun功能关闭,导致攻击失效,惟仍可诱使USB储存媒体之使用者点击该伪冒的资料夹名称而导致攻击成功。

   不仅如此,倘若移动式储存媒体内存有资料夹,恶意程式会将「原资料夹」修改为隐藏属性的资料夹以隐藏该资料夹;并于USB储存媒体内建立与原资料夹相同名称之恶意程式,并伪装成资料夹形态图示,以诱使使用者点选。届时使用者如未将资料夹选项中「隐藏已知档案类型附档名」勾除、及未选取「显示所有档案和资料夹」则容易点选与资料夹档名相同恶意程式,将被诱使启动恶意程式。

  在防制作为部分,通次室强调,该恶意程式经赛门铁克、趋势防毒软体检测后尚无法查杀,官兵应确遵资安规定,将资料夹选项中「隐藏已知档案类型附档名」、「隐藏保护的作业系统档案(建议使用)」勾除,并选择「显示所有档案和资料夹」,随时注意USB储存媒体是否存在以资料夹名称伪装之恶意程式,并注意电脑有无异常对外连线;至于网路管理员应将baidu.com...网域名称以及IP 201.108.22.8列入防火墙黑名单中,全面防制骇客入侵。(记者郑惠鸿辑)



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 | Posted:2008-10-26 11:44 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

刚找个机会 实机测试一下发现
并无出现啥 autorun.inf
他主要是将系统内的原资料夹隐藏 并生出一个档名一样的档案约1.5MB
图示显示为资料夹 病毒体相当好处理 找出那些档案即可
这部份病毒保护太弱
因为生成的资料夹档名 我们没办法知道你电脑内有啥资料夹名称
没办法使用特定的档名去删除 特征码或其他方式才可以

被隐藏的资料夹 可以用 ATTRIB 处理
生成的病毒档 *.EXE 也可以用 DEL 删除
但会造成误删率太高 除非自己认为 根目录底下所有 .EXE 都可以删除

目前要设计专杀程式 并不困难 但只有2只样本
似乎还不足惧 但灾情已有慢慢传开
不过大部份的防软都能查杀了


爸爸 你一路好走
献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2008-10-26 12:03 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.064125 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言