upside
 
   
  
 反病毒 反诈骗 反虐犬
|
分享:
▼
x0
|
目前网路常见病毒整理帖 2008-12-06
灰鸽子 Backdoor/Huigezi
灰鸽子是国内一款着名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。
Backdoor/Huigezi.cm“灰鸽子”变种cm是一个未经授权远程访问用户计算机后门。“灰鸽子”变种cm运行后,自我复制到系统目录下。修改注册表,实现开机自启。侦听黑客指令,纪录键盘,盗取用户机密信息,例如用户拨号上网口令,URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外,“灰鸽子”变种cm可下载并执行特定文件,发送用户机密信息给黑客等。
autorun 随身碟(U盘) 第二代(资料夹.文件夹)
最初的病毒档案,利用电子邮件散布,或藉由浏览器漏洞,下载到个人电脑上执行。一般会在C:\WINDOWS\system32建立一病毒执行档(如sysudisk.exe),伪装成开机常驻程式。
受病毒感染的电脑(Windows 作业系统)上,会在各分割区(c:\,d:\,e:\…)建立隐藏的系统档案 autorun.inf ,并建立一隐藏系统资料夹来存放其病毒执行程式(udisk.exe,shell.exe),资料夹名称会伪装成recycle或recyled(病毒会变种而有不同的资料夹名称), 确保重灌作业系统后也能继续感染该主机。
当使用者将USB装置插入受病毒感染的电脑、挂载网路磁碟机、新增分割区,受病毒感染的电脑会将病毒复制到USB装置、网路磁碟机、新增分割区。
当受感染的USB装置插入到其他电脑时,因Windows 作业系统内的自动播放或执行用功能预设是启用,所以USB内的autorun.inf 内的指令会被执行,而成为继续传染其它电脑的带原者。
因USB装置具有可携性与便利性,且Windows 作业系统内的自动播放或执行用功能预设是启用,使得受感染的USB装置快速传播病毒。
这是另一种文件夹图标病毒,同样具有Autorun属性。该病毒是用易语言编写,运行后会在系统目录下生成类似XP-8B618895.EXE的病毒副本,其中8B618895是随机的,并搜索移动设备,生成autorun文件,并根据移动存储设备根目录文件夹名生成同名EXE文件,并将原文件夹隐藏起来。另外病毒还会
删除临时文件及Cookies,删除IE访问记录TypedURL。
ORZ下载器
ORZ是网路流行语,又被称作脑残文或火星文。囧rz “/口\”失意体前屈,囧读作“炯”
失意体前屈,原本指的是网络上流行的表情符号:_| ̄|○ 它看起来像是一个人跪倒在地上,低着头,一副“天啊,你为何这样对我”的动作。这个符号用在ORZ病毒的现象上,真是非常之形象。 例句;我买的球队又输了,真Orz!
最近Adobe Flash Player漏洞引起安全厂商的高度关注,因为Adobe的产品缺少象微软那样的补丁管理系统,该漏洞的影响可能会持续较长时间。已经发现很多木马下载者利用该漏洞传播,并且部分利用Adobe Flasy Play漏洞传播的木马下载器完成任务后会删除自身,增加了捕获样本的难度。
NS下载器
混合型新病毒 超越机器狗的NS下载器
NS下载器继承了机器狗病毒穿还原卡的功能,利用ARP攻击在局域网传播。同时,病毒还有扫荡波的特点,攻击没有修补MS08-067号漏洞的Windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。
为了下载更多木马,类似的下载者都会选择和AV终结者一样的手法——映像劫持或利用自身驱动强行关闭杀毒软件进程,修改hosts文件阻止用户访问杀毒厂商的网站,影响杀毒软件的升级。
HBkernel系列病毒(蝗虫军团)病毒
1.映像劫持杀软、防火墙和许多安全辅助工具,最近也发现有少量劫持输入法的情况。
2.破坏lsp
3.病毒在系统中的drivers目录中释放一个HBkernel32.sys的驱动文件,该驱动文件既可以保护病毒不被清除,又可以破坏杀软的监控能力
4.病毒文件system.exe(通常是隐藏的)会在注册表中添加一个启动项用于病毒的随机启动,同时还会加载驱动文来恢复SSDT表,从而让杀软失效。
5.修改注册表AppInit_DLLs项目,将许多hb***.dll文件插入到系统的进程中。
6.有些出现无法复制粘贴的问题,rpc服务被破坏,解决方法 可以从相同系统的机子上电脑上压缩rpcss.dll这个文件,然后解压到本机系统目录system32下和system32\dllcache文件夹下,再在运行中打入services.msc,找到Remote Procedure Call (RPC),右键点启动。或者正常的相同版本的系统从注册表导出这一项,双击修复 最后附有几个常见系统的这个文件
|
