廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 4208 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x1
[病毒蠕蟲] 超級AV終結者(Win32.TrojDownloader.NsPassT.bm.50688)
超級AV終結者”(Win32.TrojDownloader.NsPassT.bm.50688)
進入2008年的最後一個月,病毒作者的活動越發猖獗。Win32.TrojDownloader.NsPassT.bm.50688。該下載器結合了AV終結者、機器狗、掃蕩波、autorun病毒的衆多特點,行爲及其惡劣。它主要是利用MS08067漏洞在局域網內傳播,對抗安全軟件,下載大量的木馬。由於帶有穿透功能,對網吧和局域網用戶影響很大。

此病毒非常狡猾,它在進入係統後,不會立即運行,而是查找係統中是否存在OllyICE.exe、OllyDbg.exe、ImportREC.exe、C32Asm.exe、LordPE.exe、PEditor.exe等反病毒工作人員經常使用的工具,如果存在,就會立刻關閉自己、退出運行。很明顯,它想刻意逃避反病毒工程師的分析。

而該毒的危害性主要體現在它強大的對抗能力。由於同時綜合了AV終結者、機器狗、掃蕩波的特點,從未有任何病毒的對抗能力像此毒一樣凶猛。它在進入係統後,首先會恢複係統SSDT表,一旦SSDT表被恢複,就意味著該毒可以穿透任何一款係統還原軟件的防線。

同時,它按照自帶的一份“黑名單”搜索安全軟件,只要發現用戶安裝得有安全軟件,就調將其關閉。檢查它的“黑名單”後發現,這份名單非常龐大,幾乎所有網上能搜索到的安全軟件,都是該毒的關閉目標。

事情還沒完,如果僅僅是關閉,那麽用戶還可以重新啓動這些安全軟件。病毒作者當然不會允許這種事情發生,他給病毒設置了映像劫持功能,劫持這些安全軟件的進程。如果用戶試圖啓動它們,唯一的結果就是把病毒再激活一次而已。而爲阻止用戶向安全軟件廠商求助,病毒會屏蔽許多安全軟件的官網。

當解決了“礙事”的安全軟件,病毒才放心大膽的讀取用戶MAC地址,並解密自己的配置文件,獲取下載列表,下載大量的盜號木馬到用戶電腦中運行——這才是它的最終目的。

該毒在成功占領一台電腦後,就開始對局域網內的其它電腦實施攻擊。它搜索局域網中所有存在MS08067漏洞的電腦,利用漏洞將自己發送到這些電腦上。同時,對所有的電腦展開ARP攻擊,劫持用戶所浏覽網頁上的鏈接,如果用戶點擊鏈接,就會被引導到病毒作者安排好的廣告網址,或者下載包括該毒在內的一些惡意程序。爲確保攻擊成功,該毒還會釋放出一個掃蕩波病毒,協助自己進行攻擊。

必須提及的是,該毒的ARP攻擊頻率達到令人驚訝的地步,在測試中,該毒對局域網的ARP攻擊竟然高達每分鍾1萬次以上,在三分鍾不到的時間裏,就能阻塞由數百台電腦組成的局域網。當攻擊達到最高峰時,電腦甚至連病毒作者自己指定的網址也無法訪問,這種現象可謂是瘋狂至極。

僅僅在局域網中傳播,病毒作者並不滿足。爲實現更大範圍的傳播,該毒在執行上述破壞過程時,還會遍曆驅動器,在非a:\和b:\的磁盤分區的根目錄下創建AUTO文件autorun.inf和system.dll。一旦用戶在中毒電腦上使用U盤等移動存儲設備,病毒就會自動將其傳染。當在U盤插入另一台電腦時,它又會將該電腦傳染,這樣就實現了自動傳播。



爸爸 你一路好走
獻花 x1 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2008-12-06 21:45 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

表情
看到這資料 真是嚇人
簡單的手動處理 可能還沒辦法解決
要配合多套工具 瞬間清除 才有機會
否則病毒馬上再生


爸爸 你一路好走
獻花 x0 回到頂端 [1 樓] From:臺灣和信超媒體寬帶網 | Posted:2008-12-06 21:54 |
greenjay 手機 會員卡
個人文章 個人相簿 個人日記 個人地圖
小有名氣
級別: 小有名氣 該用戶目前不上站
推文 x58 鮮花 x1764
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

目前維修的案件還沒遇到
不過這消息可不太妙呀 表情


獻花 x0 回到頂端 [2 樓] From:臺灣固網股份有限公司 | Posted:2008-12-06 22:20 |
liujenha 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
風雲人物
級別: 風雲人物 該用戶目前不上站
推文 x0 鮮花 x4768
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

真的是好毒


獻花 x0 回到頂端 [3 樓] From:臺灣中華寬頻網 | Posted:2008-12-06 22:44 |
andyf 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
小有名氣
級別: 小有名氣 該用戶目前不上站
推文 x0 鮮花 x178
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

抓到放毒者應該判死刑,
家產沒收充公!


獻花 x0 回到頂端 [4 樓] From:歐洲 | Posted:2008-12-07 09:05 |
as79318624
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x11
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

看這描述,那電腦不就報廢了。

真可怕。


獻花 x0 回到頂端 [5 樓] From:臺灣中華電信HINET | Posted:2008-12-07 09:18 |
water2204
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x3
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

天阿
真誇張..
真是沒道德... 表情


獻花 x0 回到頂端 [6 樓] From:臺灣 | Posted:2008-12-09 20:41 |
anlayu
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x3
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

真是麻煩也~

有些客戶都中了,且一中是所有單位都不能上網

樣本有抓下來了, autorun.inf 跟 system.dll

連還原卡都沒有用了


獻花 x0 回到頂端 [7 樓] From:臺灣中華電信 | Posted:2008-12-09 21:01 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.056180 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言