本文目录一览:
- 1、电脑木马是怎么为事啊
- 2、计算机病毒和木马的工作原理和过程(好的追加200)
- 3、木马攻击的一般过程是什么? 2、 扫描工具只是黑客攻击的工具吗?它还有什么功能?
- 4、勒索病毒的攻击过程是怎样的?
- 5、简述木马攻击的步骤。
- 6、告诉我一些有名的病毒,及他们分别怎样攻击电脑?
电脑木马是怎么为事啊
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。
用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。
计算机病毒和木马的工作原理和过程(好的追加200)
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!
病毒是附着于程序或文件中的一段计算机代码,它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。
病毒 (n.):以自我复制为明确目的编写的代码。病毒附着于宿主程序,然后试图在计算机之间传播。它可能损坏硬件、软件和信息。
与人体病毒按严重性分类(从 Ebola 病毒到普通的流感病毒)一样,计算机病毒也有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。令人欣慰的是,在没有人员操作的情况下,真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。
“木马”全称是“特洛伊木马(TrojanHorse)”,原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上,“特洛伊木马”指一些程序设计人员(或居心不良的马夫)在其可从网络上下载(Download)的应用程序或游戏外挂、或网页中,包含了可以控制用户的计算机系统或通过邮件盗取用户信息的恶意程序,可能造成用户的系统被破坏、信息丢失甚至令系统瘫痪。
一、木马的特性
特洛伊木马属于客户/服务模式。它分为两大部分,既客户端和服务端。其原理是一台主机提供服务(服务器端),另一台主机接受服务(客户端),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来答应客户机的请求。这个程序被称为进程。
木马一般以寻找后门、窃取密码为主。统计表明,现在木马在病毒中所占的比例已经超过了四分之一,而在近年涌起的病毒潮中,木马类病毒占绝对优势,并将在未来的若干年内愈演愈烈。木马是一类特殊的病毒,如果不小心把它当成一个软件来使用,该木马就会被“种”到电脑上,以后上网时,电脑控制权就完全交给了“黑客”,他便能通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。
二、木马发作特性
在使用计算机的过程中如果您发现:计算机反应速度发生了明显变化,硬盘在不停地读写,鼠标不听使唤,键盘无效,自己的一些窗口在被关闭,新的窗口被莫名其妙地打开,网络传输指示灯一直在闪烁,没有运行大的程序,而系统却越来越慢,系统资源站用很多,或运行了某个程序没有反映(此类程序一般不大,从十几k到几百k都有)或在关闭某个程序时防火墙探测到有邮件发出……这些不正常现象表明:您的计算机中了木马病毒。
三、木马的工作原理以及手动查杀介绍
由于大多玩家对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。(如果成不了高手建议大家用皮筋打斑竹家玻璃,嘿嘿)
“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False。ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。
A、启动组类(就是机器启动时运行的文件组)
当然木马也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,(没有人会这么傻吧??)。“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。通过win.ini和system.ini来加载木马。在Windows系统中,win.ini和system.ini这两个系统配置文件都存放在C:windows目录下,你可以直接用记事本打开。可以通过修改win.ini文件中windows节的“load=file.exe,run=file.exe”语句来达到木马自动加载的目的。此外在system.ini中的boot节,正常的情况下是“Shell=Explorer.exe”(Windows系统的图形界面命令解释器)。下面具体谈谈“木马”是怎样自动加载的。
1、在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOLTrojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。
通过c:windowswininit.ini文件。很多木马程序在这里做一些小动作,这种方法往往是在文件的安装过程中被使用,程序安装完成之后文件就立即执行,与此同时安装的原文件被Windows删除干净,因此隐蔽性非常强,例如在wininit.ini中如果Rename节有如下内容:NUL=c:windowspicture.exe,该语句将c:windowspicture.exe发往NUL,这就意味着原来的文件pictrue.exe已经被删除,因此它运行起来就格外隐蔽。
2、在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。
win.ini、system.ini文件可以通过“开始”菜单里的“运行”来查看。只要在“运行”对话框中输入“msconfig”,后点击“确定”按钮就行了。(这里大家一定要注意,如果你对计算机不是很了解,请不要输入此命令或删除里边的文件,否则一切后果和损失自己负责。斑竹和本人不承担任何责任。)
3、对于下面所列的文件也要勤加检查,木马们也可能隐藏在
C:\windows\winstart.bat和C:\windows\winnint.ini,还有Autoexec.bat
B、注册表(注册表就是注册表,懂电脑的人一看就知道了)
1、从菜单中加载。如果自动加载的文件是直接通过在Windows菜单上自定义添加的,一般都会放在主菜单的“开始-程序-启动”处,在Win98资源管理器里的位置是“C:windowsstartmenuprograms启动”处。通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserS!hellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\UserShellFolders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellFolders
2、在注册表中的情况最复杂,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“AcidBatteryv1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。
3、此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=
“1”“*”处,如果其中的“1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,例如著名的冰河木马就是将TXT文件的Notepad.exe改成!了它自己的启动文件,每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。
注册表可以通过在“运行”对话框中输入“regedit”来查看。需要说明的是,对系统注册表进行删除修改操作前一定要将注册表备份,因为对注册表操作有一定的危险性,加上木马的隐藏较隐蔽,可能会有一些误操作,如果发现错误,可以将备份的注册表文件导入到系统中进行恢复。(次命令同样很危险,如不懂计算机请不要尝试。切记)
C、端口(端口,其实就是网络数据通过操作系统进入计算机的入口)
1、万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动。所以平常多注意你的端口。一般的木马默认端口有
BO31337,YAL1999,Deep2140,Throat3150,冰河7636,Sub71243
那么如何查看本机开放哪些端口呢?
在dos里输入以下命令:netstat-an,就能看到自己的端口了,一般网络常用端口有:21,23,25,53,80,110,139,如果你的端口还有其他的,你可要注意了,因为现在有许多木马可以自己设定端口。(上面这些木马的端口是以前的,由于时间和安全的关系现在好多新木马的端口我不知道,也不敢去试,因为技术更新的太快了,我跟不上了。55555555555555)
2、由于木马的运行常通过网络的连接来实现的,因此如果发现可疑的网络连接就可以推测木马的存在,最简单的办法是利用Windows自带的Netstat命令来查看。一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将看不到什么信息,此时可以使用“netstat-a”,“-a”选项用以显示计算机中目前所有处于监听状态的端口。如果出现不明端口处于监听状态,而目前又没有进行任何网络服务的操作,那么在监听该端口的很可能是木马。
3、系统进程:
在Win2000/XP中按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程,一一清查即可发现木马的活动进程。
在Win98下,查找进程的方法不那么方便,但有一些查找进程的工具可供使用。通过查看系统进程这种方法来检测木马非常简便易行,但是对系统必须熟悉,因为Windows系统在运行时本身就有一些我们不是很熟悉的进程在运行着,因此这个时候一定要小心操作,木马还是可以通过这种方法被检测出来的。
四、软件查杀木马介绍
上面所介绍的都是以手工方式来检测或者清除木马,但一般情况下木马没有那么容易就能发现,木马是很会隐藏的哦。幸好在已经有了不少的反木马软件。下面介绍几款软件,
1、瑞星杀毒软件。
2、个人版天网防火墙。根据反弹式木马的原理,就算你中了别人的木马,但由于防火墙把你的计算机和外界隔开,木马的客户端也连接不上你。防火墙启动之后,一旦有可疑的网络连接或者木马对电脑进行控制,防火墙就会报警,同时显示出对方的IP地址、接入端口等提示信息,通过手工设置之后即可使对方无法进行攻击。不过对于一些个别机器来说,运行天网会影响机器的运行速度。
3、木马克星。目前具我所知,是只查杀木马的软件,也是能查杀木马种类最多的软件。顾名思义,木马克星不克乾坤无敌槌也不克北冥槌法,专克各种木马。但也不是绝对哦,好象“灰鸽子”能屏蔽掉木马克星。(听说而已没试过哦。“灰鸽子”也是一种木马,和冰河差不多。)(现在木马克星大多是没注册的版本。用木马克星查木马时,要是提示你发现木马只有注册用户才能清除,这只是作者的一个小手段,其实他的意思是如果发现木马,那么只有注册用户才能清楚,要是真的发现了木马,软件会告诉你木马的具体位置和名字是什么。我们用其他的软件和手段清除不就行了)
4。绿鹰PC万能精灵。他会实时监控你的计算机,看着“系统安全”心理舒服多了。
有了类似的这些防护软件,你的计算机基本上是安全了。但道高一尺,魔高一丈。最近又出现了一种可以把木马伪装易容的程序(不知道是哪个高手搞的,很是厉害),就是把木马本体根据排列组合生成多个木马,而杀毒软件只能查杀他们的母体。而后生成的木马就不能查到了,所以手动人工的清除木马我们还是要掌握一些地。
软件查杀其他病毒很有效,对木马的检查也是蛮成功地,但彻底地清除不很理想,因为一般情况下木马在电脑每次启动时都会自动加载,而杀病毒软件却不能完全清除木马文件,总的说来,杀病毒软件作为防止木马的入侵来说更有效。
五、木马的防御
随着网络的普及和网络游戏装备可以换人民币的浪潮,木马的传播越来越快,而且新的变种层出不穷,我们在检测清除它的同时,更要注意采取措施来预防它,下面列举几种预防木马的方法。(大家的意见,我借用而已)
1、不要下载、接收、执行任何来历不明的软件或文件
很多木马病毒都是通过绑定在其他的软件或文件中来实现传播的,一旦运行了这个被绑定的软件或文件就会被感染,因此在下载的时候需要特别注意,一般推荐去一些信誉比较高的站点。在软件安装之前一定要用反病毒软件检查一下,建议用专门查杀木马的软件来进行检查,确定无毒和无马后再使用。
2、不要随意打开邮件的附件,也不要点击邮件中的可疑图片。(后边另外介绍一个关于邮件的例子,大家注意收看。)
3、将资源管理器配置成始终显示扩展名。将Windows资源管理器配置成始终显示扩展名,一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。
4、尽量少用共享文件夹。如果因工作等原因必须将电脑设置成共享,则最好单独开一个共享文!件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。
5、运行反木马实时监控程序。木马防范重要的一点就是在上网时最好运行反木马实时监控程序,PC万用精灵等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外如加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。
6、经常升级系统。很多木马都是通过系统漏洞来进行攻击的,微软公司发现这些漏洞之后都会在第一时间内发布补丁,很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。
六、木马传播的个别范例(给大家介绍一个邮件类的)
1、来自网络的攻击手段越来越多了,一些带木马的恶意网页会利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序,强行修改用户操作系统的注册表及系统实用配置程序,从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序、盗取用户数据资料等目的。
目前来自网页的攻击分为两种:一种是通过编辑的脚本程序修改IE浏览器;另外一种是直接破坏Windows系统。前者一般会修改IE浏览器的标题栏、默认主页或直接将木马“种”在你的机器里等等;后者是直接锁定你的键盘、鼠标等输入设备然后对系统进行破坏。
(作者插言):还好目前盗取千年用户名和密码的“木马”功能还仅仅是偷盗行为,没有发展成破坏行为。要不然号被盗了,在顺便把硬盘被格式化了。那样想第一时间找回密码就都没可能。希望这种情况不要发生。(啊门我弥佗佛)
下边是正题了,大家看仔细了!
假如您收到的邮件附件中有一个看起来是这样的文件(或者貌似这类文件,总之是特别诱人的文件,而且格式还很安全。):QQ靓号放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ靓号放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。
{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文件实际上等同于QQ靓号放送.txt.html。那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:
您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始通过网页加载木马文件。同时显示“正在打开文件”之类的这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?
欺骗实现原理:当您双击这个伪装起来的.txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
在某些恶意网页木马中还会调用“WScript”。
WScript全称WindowsScriptingHost,它是Win98新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“WScript.exe”是一个脚本语言解释器,位于c:\WINDOWS下,正是它使得脚本可以被执行,就象执行批处理一样。在WindowsScriptingHost脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
最近听不少玩家反映,许多马夫通过冒充千年官方网站的办法给玩家发名字类似“您的千年密码确认函”、“您的千年资料保护建议”等的邮件,来骗取玩家的信任,来点击运行该木马邮件。希望广大玩家在点击这类邮件时一定要看清邮件是否来自于千年官方网站。如是来自其他什么网站或个人邮箱的,马上删除,记得一定要马上删除,别抱任何侥幸心理。
七、关于“木马”的防御(纯属个人意见,不付法律责任)
防止木马对在家上网来说是很简单的事,无非就是装一大堆杀毒软件,并及时升级。(再新的木马只要传播速度快的话很快就会成为各种杀毒软件的战利品,除非此人专门定做个人木马)在加上天网防火墙(很多黑客就是利用口令和漏洞进行远程控制,该防火墙可以防止口令和漏洞入侵)基本上就可以解决问题啦,除非是自己好奇或是不小心打开了木马服务端,我想这种情况还是占一定的比例!
但是对网吧上网的来说,再好的防御也是白撤。
据我所知,现在的网吧安全系数几乎等于00000000,现在最厉害的应该就是装个还“原精灵吧”,但是......我个人认为那东西用处不是很大,说是保护用户密码还不如说它是网吧保护系统的一种软件。现在的木马一般都是通过邮件方式传送密码的,也就是说,你只要在输入框内输入你的密码之后,木马控制方就已经得到你的ID和密码了(一般不会超过三分钟)!对网吧上网的朋友来说,靠复制方法输入ID和密码算最安全的了,很多木马程序实际上就是一个键盘记录工具,在你不知情的情况下把你的键盘输入情况全部记录了下来,然后通过网络发送出去!(好可怕哦,不过具我所知现在公安部和文化部已经明令禁止网吧安装还原精灵了,说是为了保留历史记录云云。唉~~就这么点防御手段也给封杀了,哭哦)
总之,家庭上网用户记得随时更新自己的病毒库,随时检查计算机进程,发现不明进程马上格杀,不浏览一些不明站点(我通常是靠域名来分析站点的可靠程度,一般一级域名都不会出现恶意代码和网页木马),更别随意接收别人给你发送的文件和邮件!
网吧防盗真的很困难了,什么人都有,复杂了,就算老板花钱去注册一个木马克星,呵呵。。。都没用,想做坏事的人同样能把他干掉~~~~我个人认为,网吧上网除了复制ID密码粘贴到输入框,其他的就得听天由命了~~~~~
八、关于大家都用的醉翁巷1.1G的说明
用了人家的软件,就总要替人家说句公道话。前些时候,有人说醉翁1.1G软件运行后,没什么反映。当关闭软件的一刹那,一些防护类软件提示:此软件正在监视本机键盘!!
其实就是醉翁巷中的hook.dll文件在作怪。下面给大家说说“勾子”的我问题。
什么是勾子
在Windows系统中,勾子(hook)是一种特殊的消息处理机制。勾子可以监视系统或进程中的各种事件消息,截获发往目标窗口的消息并进行处理。这样,我们就可以在系统中安装自定义的勾子,监视系统中特定事件的发生,完成特定的功能,比如截获键盘、鼠标的输入,屏幕取词,日志监视等等。可见,利用勾子可以实现许多特殊而有用的功能。因此,对于高级编程人员来说,掌握勾子的编程方法是很有必要的。
勾子的类型
按使用范围分类,主要有线程勾子和系统勾子
(1)线程勾子监视指定线程的事件消息。
(2)系统勾子监视系统中的所有线程的事件消息。因为系统勾子会影响系统中所有的应用程序,所以勾子函数必须放在独立的动态链接库(DLL)中。这是系统勾子和线程勾子很大的不同之处。
醉翁巷中的hook.dll就是完成以上功能的程序,由于勾子对程序的特殊性,所以会有部分软件报告发现他在记录键盘动作,不过不会报告说他是木马。(呵呵搞的确实挺吓人的。不过就算它记录键盘动作,只要不发送就没太大危险了)
九、大总结(就是对上边的大总结啦)
大家知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后在根据实际情况进行处理。
木马攻击的一般过程是什么? 2、 扫描工具只是黑客攻击的工具吗?它还有什么功能?
木马攻击一般过程:
从本质上看,木马都是网络客户/服务模式,它分为客户端和服务端,其原理是一台主机提供服务,另一台主机接受服务,作为服务器的主机一般都会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的响应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。从进程上看大致可分为六步来阐述木马的攻击原理:
1、木马的配置
2、木马的传播
3、木马的自启动
4、木马的信息泄露
5、建立连接
6、远程控制
扫描工具呢,介绍几个吧:
如果是直接系统攻击的话
阿D工具包(菜鸟必备)
X-scan
Superscan
脚本注入推荐
阿D的sql注射工具
NBSI
HDSI
(不过好像你都用不了)
缓冲区溢出:
指的是一种系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。据统计,通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。 造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。
危害:缓冲区溢出漏洞会被craker利用,而后进一步入侵主机。
希望可以帮到你...
勒索病毒的攻击过程是怎样的?
勒索病毒工作原理:
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
1、针对个人用户常见的攻击方式
通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示:
攻击流程
2、针对企业用户常见的攻击方式
勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。
1)系统漏洞攻击
系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。
攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。
通过系统漏洞扫描网络中的计算机
另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。
入侵一台机器后再通过漏洞局域网横向传
网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给网络安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
2)远程访问弱口令攻击
由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得网络上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。
通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。
弱口令扫描网络中的计算机
通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。
入侵一台机器再弱口令爆破局域网机器横
3)钓鱼邮件攻击
企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个网络遭受攻击。钓鱼邮件攻击逻辑图:
钓鱼邮件攻击逻辑
文章转载至:2018勒索病毒全面分析报告
简述木马攻击的步骤。
抓你系统或软件漏洞入你电脑,偷读你信息,发给别人。
1. 配置木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能:
(1)木马伪装:木马配置程序为了在服务端尽可能好的隐藏木马,会采用多种伪装手段,如修改图标、捆绑文件、定制端口、自我销毁等等。
(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址、IRC号、ICQ号等。
2. 传播木马
(1)传播方式
木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
(2)伪装方式
鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的。因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。一般来说有以下几种:
①.修改图标
也许你会在E-MAIL的附件中看到一个很平常的文本图标,但是我不得不告诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆、疑神疑鬼的。
②.捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件,即EXE、COM一类的文件。
③.出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框——这当然是假的,错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
④.定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024——65535之间任选一个端口作为木马端口。一般不选1024以下的端口,这样就给判断所感染木马类型带来了麻烦。
⑤.自我销毁
这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件的C:\WINDOWS或C:\WINDOWS\SYSTEM目录下,一般来说原木马文件和系统文件夹中的木马文件的大小是一样的,捆绑文件的木马除外。那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
⑥.木马更名
安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控 制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
3.运行木马
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中C:\WINDOWS或C:\WINDOWS\SYSTEM目录下。然后在注册表、启动组、非启动组中设置好木马的触发条件,这样木马的安装就完成了。安装后就可以启动木马了。
由触发条件激活木马
触发条件是指启动木马的条件,大致出现在下面八个地方:
①注册表
打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run和RunServices主键,在其中寻找可能是启动木马的键值。
②WIN.INI
C:\WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在windows字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。
③SYSTEM.INI
C:\WINDOWS目录下有个配置文件system.ini,用文本方式打开,在386Enh、mic、drivers32中有命令行,在其中寻找木马的启动命令。
④Autoexec.bat和Config.sys
在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。
⑤*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
⑥注册表
打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值。举个例子,国产木马“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:\WINDOWS \NOTEPAD.EXE %1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”,这时你双击一个TXT文件后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明的是不光是TXT文件,通过修改HTML、EXE、ZIP等文件的启动命令的键值都可以启动木马,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以试着去找一下。
⑦捆绑文件
实现这种触发条件首先要控制端和服务端通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
⑧启动菜单
在“开始—程序—启动”选项下也可能有木马的触发条件。
告诉我一些有名的病毒,及他们分别怎样攻击电脑?
一、VBS.LoveLetter@MM
这是一个Loveletter病毒家族的变种,该病毒通过下面的邮件传播:
主题:: Where are you?
消息主体: This is my pic in the beach!
附件: JENNIFERLOPEZ_NAKED.JPG.vbs
VBS.Loveletter.CN@mm还安装文件Cih_14.exe,该文件是CIH病毒的安装器,并企图运行CIH病毒。
当执行时,病毒VBS.Loveletter.CN@mm将试图完成下面的工作:
1、修改注册键中的"Timeout" 键值,这样当 诵薪铣な奔湎低巢换嵯允鞠�ⅰH缓螅�《舅阉魉�锌捎玫那��鳎�檎揖哂邢铝欣┱姑�奈募�?
--扩展名为.vbe, .jpg, .jpeg 的文件被替换成 《镜母北尽?
--扩展名为.js, .jse, .css, .wsh, .sct, 和.hta 的文件将被 《靖北咎婊唬�⑶椅募�睦┱姑�崽砑?vbs 。例如:原文件Filename.wsh 变成Filename.wsh.vbs.
--扩展名为.mp2 和.mp3的文件被复制,副本的扩展名中将添加.vbs的后缀,原文件被标记为隐藏。
2、创建下面的注册键:
HKEY_CURRENT_USER\Software\JENNIFFERLOPEZ_NAKED\Worm made in algeria
3、添加注册键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:WORM w exe \\JENNIFERLOPEZ_NAKED.JPG.vbs %
以便每次windows启动都运行该病毒。
4、检查注册键:
HKEY_CURRENT_USER\Software\JENNIFFERLOPEZ_NAKED的值是否为:mailed = 1
如果不是,则执行发送邮件功能,发送完邮件,将其值设为1。
5、蠕虫编写十六进制的文件并将其保存为\Windows\Cih_14.exe。该文件包含一个CIH病毒的安装器,之后执行该文件。一旦执行,病毒将驻留内存(win98/me),并感染PE可执行文件。
二、W32.Nimda.htm
Worms.Nimda 是一个新型蠕虫,也是一个病毒,它通过email、共享网络资源、IIS服务器传播。同时它也是一个感染本地文件的新型病毒。
Worms.Nimda运行时,会搜索本地硬盘中的HTM和HTML文件和EXCHANGE邮箱,从中找到EMAIL地址,并向这些地址发邮件;搜索网络共享资源,并试图将带毒邮件放入别人的共享目录中;利用CodeBlue病毒的方法,攻击随机的IP地址,如果是IIS服务器,并未安装补丁,就会中毒。该蠕虫用它自己的的SMTP服务器去发出邮件。同时用已经配置好的DNS获得一个mail服务器的地址。
Worms.Nimda运行时,会查找本地的HTM/ASP文件,将生成的带毒邮件放入这些文件中,并加入java 疟尽U庋��康备猛�潮淮蚩�保�突嶙远�蚩�萌径镜膔eadme.eml。
Worms.Nimda感染本地PE文件时,有两种方法,一种是查找所械腤INDOWS 应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/App Paths中),并试图感染之,但不感染WINZIP32.EXE;第二种方法搜索所有文件,并试图感染之。被感染的文件会增大约57KB。
如果用户游览了一个已经被感染的web 页时,就会被提示下载一个.eml(Outlook Express)的电子邮件文件,该邮件的MIME头是一个非正常的MIME头,并且它包含一个附件,即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机中,也可能是在别人的共享目录中,无论如何,只要你在WINDOWS的资源管理器中选中该文件,WINDOWS将自动预览该文件,由于Outlook Express的一个漏洞,导致蠕虫自动运行,因此即使你不打开文件,也可能中毒,相关信息请参见微软安全网站:,同时,该漏洞已有安全补丁:。
当这个蠕虫执行的时候,它会在WINDOWS目录下生成MMC.EXE文件,并将其属性改为系统、隐藏;它会用自己覆盖SYSTEM目录下的RICHED20.DLL,这个文件是OFFICE套件运行的必备库,WINDOWS的写字板等也要用到这个动态库,任何要使用这个动态库的程序试图启动时,都会激活该它;它会将自己复制到SYSTEM目录下,并改名为LOAD.EXE,同时将SYSTEM.INI文件中的SHELL项改为“explorer.exe load.exe - dontrunold”,这样,在系统每次启动时,将自动运行它;这个蠕虫会在已经感染的计算机共享所有本地硬盘,同时,这个蠕虫会以超级管理员的权限建立一个guest的访问帐号,以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名
三、W32.Elkern.cav.c
W32.ElKern.3326感染共享文件、映像驱动器,同时该病毒还会感染本机硬盘的\Windows\System目录中的文件。
如果病毒是在Windows NT/2000系统中被激活,当第一次被激活后,病毒变会蹦溃。
如果病毒在Windows 9x系统中被激活并且本机有带写保护的网络映像,很短的时间后,病毒将使机器当掉。
病毒感染文件后,文件的大小并不改变。
W32.ElKern.3326在感染文件时可能是空的感染源也可能是“添加器”,这就意味着,如果可能,病毒将拒绝将自身代码添加到宿主文件内,免得文件的尺寸变大。
一旦病毒被激活,它将创建一个自身的可执行文件后,直接控制对宿主文件。
在\Windows\System目录中创建自身的副本,文件名依不同的系统而不同:
1)Windows 95/98/Me: %System%\Wqk.exe
2)Windows NT/2000: %System%\Wqk.dll
根据不同的操作系统,W32.ElKern.3326创建不同的不同的注册键:
1)Windows 95/98/Me
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:WQK %System%\Wqk.exe
2)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
值:AppInit_DLLs %System%\Wqk.dll
etween each file that it tries to infect.
四、VBS.Redlof@M
1.此病毒属于脚本类病毒,此病毒感染脚本类型的文件。
2.此病毒运行时,全盘查找脚本类型的文件{vbs,htm, html等),如果找到,则将病毒自身加入这些文件的尾部,完成感染。
3.此病毒感染目录时,还会在一些目录下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件。
五、W32.Klez
该病毒基本分为两部分:一部分是狭义上的病毒,它感染PE结构文件,病毒大小约为3K,用汇编语言编写;第二部分是蠕虫大小为56K,它在运行中会释放并运行一个11722字节的带毒的PE文件。第二部分是用VC++编写的,它只可以在WINDOWS 9X或WINDOWS2000上运行,在NT4上无法运行。
它的传播方式有四种:
第一种:通过INTERNET邮件,它搜索当前用户的地址簿文件中的类邮件地址的文本内容,或随机计算邮件地址,通过WINDOWS的SOCKET函数集用SMTP服务器发送自己这个带毒木马,邮件文件是由木马部分形成,并且该邮件会在OUTLOOK EXPRESS下自动执行,它的主题是随机的,但以下几种情况:
Hi
Hello
How are you?
Can you help me?
We want peace.
Where will you go?
Congratulations!!!
Don't cry.
Look at the pretty.
Some advice on your shortcoming.
Free XXX Pictures.
A free hot porn site.
Why don't reply to me?
How about have dinner with me together?
信的正文为:
I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?..Don't call my names,I have no hostility.
Can you help me?
第二种:通过网络邻居,它搜索所有的网络连接,查找共享目录,将自己的文件放到享目录中,并试图让远程计算机将它作为一个服务启动。
第三种:通过磁盘传播,它创建专门的线程感染磁盘,如果当前日期奇数月的13号,将找到的文件内容进行复制。
第四种:方式病毒感染。
病毒部分的运行过程:
1、解密后面的代码长度258H字节
2、然后病毒在内存中查找KERNEL32模块,并根据名字的检验字找到一大批函数入口,这些函数供后面的代码调用。
3、申请内存,将所有代码拷贝到申请的内存中,并转申请的内存执行。
4、查检有无调试程序(调IsDebugPresent函数),如在调试程序下运行,终止病毒代码,返回到原宿主程序(如果是配套的木马,则返回到操作系统)。
5、启动感染代码,如未在调试程序下运行,在SYSTEM(由GetSystemDirectory)目录感染或建立WQK.EXE(WIN9X下)或WQK.DLL(NT下)。
6、将当前进程注册为服务进程。
7、创建感染线程,根据系统时间,如果为13号且为3月或9月,感染所有硬盘或网络盘文件。否则感染系统目录。某些条件下创始的感染线程会启动另一个感染线程,直到系统崩溃。
8、如果是NT操作系统,同时感染所有网络邻居。
9、返回宿主或操作系统。
木马部分运行过程:
1、解码所有字符串。
2、改变当前进程访问权限。
3、启动线程1,线程1的作用如下:
检查当前所有进程,如果有以下进程(部分匹配),则终止这些进程:
_AVP32, _AVPCC, _AVPPM, ALERTSVC,AMON
AVP32,AVPCC,AVPM,N32SCANW,NAVAPSVC,
NAVAPW32,NAVLU32,NAVRUNR,NAVW32,NAVWNT,
NDD32,NPSSVC,NRESQ32,NSCHED32,NSCHEDNT,
NSPLUGIN,SCAN,SMSS
如果是WINDOWS9X系统,将当前程序设为自启动(Software\Microsoft\Windows\CurrentVersion\Run)线程永不终止。
4、启动线程2,作用如下:
复制自己,运行后删除,然后线程终止。
5、在系统目录中创建KRNL32.EXE,如果是9X,运行它,并将它放入 Software\Microsoft\Windows\CurrentVersion\Run 中自动运行。如果是2000系统,
将它作为Service启动。
6、创建线程3,发送EMAIL。
创建线程4,感染网络所有共享文件,每8小时搜索一次。
创建线程5,搜索磁盘文件。
创建线程6,检查当前日期是否为奇数月的13号,如是,将所有文件复制一次,线程5小时运行一次,永不退出。
六、W32.Nimda.eml
感染途径:
该病毒是一种传染途径很多的病毒,并且尝试利用多种已知系统漏洞,于第一版相似,它通过以下途径感染
l 电子邮件(附件)
l 局域网共享驱动器
l 利用没有安装Service Pack的IIS(Internet Information Server)
l 通过文件感染
利用了如下的系统漏洞:
l MIME漏洞,可以在没有得到用户许可的情况下自动执行附件
l IIS漏洞,使之可以被上载恶意代码与前版本的不同:
Win32.Nimda.E是Nimda.A的新变种,它修改了以前版本的一些错误,并且加入了对付多种对抗反病毒软件的设计,它与第一版的主要区别有:
l 附件名改名为Sample.exe
l 复制本身到系统目录下的名称改为Csrss.exe(原来为mmc.exe)
l 释放出的动态库名称变更为Httpodbc.dll
建议用户做如下系统升级,以便防患于未然:
升级到Internet Explorer 5.01 SP2 或
升级到Internet Explorer 5.5 SP2 或
升级到Internet Explorer 6.0
下载并安装升级包,NT4用户使用NT4 Service Pack 6a,Windows 2000用户使用 Windows 2000 Service Pack 2,并且到微软公司的主页(或用Windows Update)下载安全补丁。
注意磁盘共享的权限、口令设置,不要让所有用户对硬盘驱动器都可以读写不要打开来历不明的邮件附件,尤其是可执行文件。
七、W32.Klez.eml
新的Klez变种在以前的基础上增加了更多的工作线程,并且在驻留系统后可能会结束其它进程并且删除相应文件,所以有较大的破坏,提请用户注意!
蠕虫的流程:
1.蠕虫使用AdjustTokenPrivileges调整自己的特权,
2.拷贝自己的一个副本到系统目录下,名为win****.exe.
3.修改注册表,向SCM数据库中添加新的服务。
4.复制自己并运行,然后删除。
5.调用StartServiceCtrlDispatcher函数。
6.服务创建下面的线程。
7.结束。
第一个线程:
写注册表
遍历系统进程,结束正在运行的进程并删除进程的磁盘文件。
第二个线程:
发email.
第三个线程:
遍历本地网络。
第四个线程:
注册表操作
第六个线程:
搜索特定目录
第七个线程:
搜本地磁盘。
第八个线程:
搜索磁盘文。
第五个线程:
复制自己,运行后删除。
信件主题可能为以下内容:
Hi,
Hello,
Re:
Fw:
Undeliverable mail--"..."
Return
how are you
Let's be friends
Darling
Don't drink too much
your password
Honey
Some questions
Please try again
welcome to my hometown
The Garden of Eden
Introduction on ADSL
Meeting notice
questionnaire
Congratulations
Sos!
Japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
spice girls' vocal concert
Japanese lass' sexy pictures
信件携带的附件虚假扩展名可能为以下之一:
txt htm html wab doc xls jpg cpp c pas mpg mpeg bak mp3
真实扩展名为EXE SCR PIF BAT之一。
病毒体内有以下加密信息:
Win32 Klez V2.0 Win32 Elkern V1.1,(There nick name is Twin Virus*^__^*)
Copyright,made in Asia,announcement:
1.I will try my best to protect the user from some vicious virus,Funlove,Sircam,Nimda,CodeRed and even include 32.Klez1.X
2.Pitiful AVers,can't Elkern 1.0 1.1 work on Win 2KXP?Plz clear your eyes.
3.Well paid jobs are wanted
4.Poor life should be unblessed
5.Don't accuse me.Please accuse the unfair shit world
解决方法,本病毒无法手工杀毒,只能升级杀毒软件。并且由于会结束进程,所以建议用户在DOS下用杀毒软件清除。
八、Script.Exploit
1.此病毒利用脚本的SCAPE功能将自身加密,以达到隐藏自己的目的.
2.此病毒利用”万花谷病毒”的技术来破坏系统的正常使用.
3.将IE的首页通过系统注册表项
HKEY_LOCAL_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page",设置成为:” [url][/url]”
4.为了达到破坏性,该病毒对系统的注册表做了如下的修改:
1.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun的修改使系统没有”运行”菜单。
2.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoClose的修改使系统没有” 关闭系统”项目.
3.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoLogOff的修改使系统没有”注销”项目.
4.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDrives的修改使系统没有所有的逻辑驱动器.
5.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistryTools的修改使系统不能使用注册表的编辑工具REGEDIT.
6.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDesktop的修改使系统没有桌面.
7.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled的修改使系统禁止运行所有的DOS应用程序.
8.通过系统注册表项HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\Disabled的修改使系统不能启动到"实模式(传统的DOS模式)"下.
9.通过系统注册表项"HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeCaption的修改使系统登录时显示一个登录窗口,此窗口的标题为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.
10.通过系统注册表项HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeText的修改使系统登录时显示一个登录窗口,此窗口内的文字为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.
11.通过系统注册表项HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title的修改使系统在打开所有的IE窗口时, 窗口的标题为:” HUNK提醒您中了※混客绝情炸弹※QQ:5604160”.
九、W32.FunLove.gen
这是WIN32类型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系统。它感染所有WIN32类型的文件(PE文件),如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE, .SCR, and .OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测,以便能够感染系统文件。
病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性,但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。
当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码,将其写入该文件中,然后FLCSS.EXE被执行。
如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中是不可见的。
在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们:ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。
如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~'字串,然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败,而计算机则被锁。
十、W95.Spaces.gen
这是一个危险的常驻内存寄生病毒。它只在WIN95/98下进行复制,而且会感染WIN32可执行文件。当一个受染文件运行的时候,病毒会自我安装到WINDOWS内存中。在感染的时候,病毒会增加文件最后区的空间病把自己写到这里。
在七月一日,病毒会破坏硬盘的MBR区病毒终止机器的运行。它会删除MBR载入程序的代码并修改磁盘的分区表格,这样只有一个区间被列出,然后指到MBR区。这种方式的破坏很危险:在DOS装载的时候会被终止。虽然磁盘上的数据没有被破坏,但是这个磁盘区不能被再次访问了。病毒能绕过BIOS防病毒保护程序把自己直接写到硬盘控制器的端口,这样就破坏了MBR区间。由于病毒程序存在缺陷,因此会产生"General Protection Fault"出错信息,这样MBR就会免于受到破坏。
注意:如果在一个文件的最后部分发现字符串ERL,这就能证明此病毒已经感染了这个文件。