upside
反病毒 反詐騙 反虐犬
|
分享:
▼
x0
|
[心得分享] 目前網路常見病毒整理帖 2008-12-06
目前網路常見病毒整理帖 2008-12-06
灰鴿子 Backdoor/Huigezi
灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優秀的遠程控制軟件。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。這就好比火藥,用在不同的場合,給人類帶來不同的影響。
Backdoor/Huigezi.cm“灰鴿子”變種cm是一個未經授權遠程訪問用戶計算機後門。“灰鴿子”變種cm運行後,自我複製到係統目錄下。修改註冊表,實現開機自啟。偵聽黑客指令,紀錄鍵盤,盜取用戶機密信息,例如用戶撥號上網口令,URL密碼等。利用掛鉤API函數隱藏自我,防止被查殺。另外,“灰鴿子”變種cm可下載並執行特定文件,發送用戶機密信息給黑客等。
autorun 隨身碟(U盤) 第二代(資料夾.文件夾)
最初的病毒檔案,利用電子郵件散布,或藉由瀏覽器漏洞,下載到個人電腦上執行。一般會在C:\WINDOWS\system32建立一病毒執行檔(如sysudisk.exe),偽裝成開機常駐程式。
受病毒感染的電腦(Windows 作業係統)上,會在各分割區(c:\,d:\,e:\…)建立隱藏的係統檔案 autorun.inf ,並建立一隱藏係統資料夾來存放其病毒執行程式(udisk.exe,shell.exe),資料夾名稱會偽裝成recycle或recyled(病毒會變種而有不同的資料夾名稱), 確保重灌作業係統後也能繼續感染該主機。
當使用者將USB裝置插入受病毒感染的電腦、掛載網路磁碟機、新增分割區,受病毒感染的電腦會將病毒複製到USB裝置、網路磁碟機、新增分割區。
當受感染的USB裝置插入到其他電腦時,因Windows 作業係統內的自動播放或執行用功能預設是啟用,所以USB內的autorun.inf 內的指令會被執行,而成為繼續傳染其它電腦的帶原者。
因USB裝置具有可攜性與便利性,且Windows 作業係統內的自動播放或執行用功能預設是啟用,使得受感染的USB裝置快速傳播病毒。
這是另一種文件夾圖標病毒,同樣具有Autorun屬性。該病毒是用易語言編寫,運行後會在係統目錄下生成類似XP-8B618895.EXE的病毒副本,其中8B618895是隨機的,並搜索移動設備,生成autorun文件,並根據移動存儲設備根目錄文件夾名生成同名EXE文件,並將原文件夾隱藏起來。另外病毒還會 刪除臨時文件及Cookies,刪除IE訪問記錄TypedURL。
ORZ下載器
ORZ是網路流行語,又被稱作腦殘文或火星文。囧rz “/口\”失意體前屈,囧讀作“炯”
失意體前屈,原本指的是網絡上流行的表情符號:_| ̄|○ 它看起來像是一個人跪倒在地上,低著頭,一副“天啊,你爲何這樣對我”的動作。這個符號用在ORZ病毒的現象上,真是非常之形象。 例句;我買的球隊又輸了,真Orz!
最近Adobe Flash Player漏洞引起安全廠商的高度關注,因爲Adobe的産品缺少象微軟那樣的補丁管理係統,該漏洞的影響可能會持續較長時間。已經發現很多木馬下載者利用該漏洞傳播,並且部分利用Adobe Flasy Play漏洞傳播的木馬下載器完成任務後會刪除自身,增加了捕獲樣本的難度。
NS下載器 混合型新病毒 超越機器狗的NS下載器 NS下載器繼承了機器狗病毒穿還原卡的功能,利用ARP攻擊在局域網傳播。同時,病毒還有掃蕩波的特點,攻擊沒有修補MS08-067號漏洞的Windows係統。當然利用U盤自動運行功能傳播,已經差不多成爲病毒的標配。
爲了下載更多木馬,類似的下載者都會選擇和AV終結者一樣的手法——映像劫持或利用自身驅動強行關閉殺毒軟件進程,修改hosts文件阻止用戶訪問殺毒廠商的網站,影響殺毒軟件的升級。
HBkernel系列病毒(蝗蟲軍團)病毒 1.映像劫持殺軟、防火牆和許多安全輔助工具,最近也發現有少量劫持輸入法的情況。 2.破壞lsp 3.病毒在係統中的drivers目錄中釋放一個HBkernel32.sys的驅動文件,該驅動文件既可以保護病毒不被清除,又可以破壞殺軟的監控能力 4.病毒文件system.exe(通常是隱藏的)會在注冊表中添加一個啓動項用於病毒的隨機啓動,同時還會加載驅動文來恢複SSDT表,從而讓殺軟失效。 5.修改注冊表AppInit_DLLs項目,將許多hb***.dll文件插入到係統的進程中。 6.有些出現無法複制粘貼的問題,rpc服務被破壞,解決方法 可以從相同係統的機子上電腦上壓縮rpcss.dll這個文件,然後解壓到本機係統目錄system32下和system32\dllcache文件夾下,再在運行中打入services.msc,找到Remote Procedure Call (RPC),右鍵點啓動。或者正常的相同版本的係統從注冊表導出這一項,雙擊修複 最後附有幾個常見係統的這個文件
|