磁碟机变种简单分析(lsass.exe、smss.exe、dnsq.dll、NetApi000.sys)
这东西接近无敌了:
绕主防/Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染
进程守护、关杀软、屏蔽安全工具、感染文件(带加密)、破坏安全模式等等
哈哈。
测试为反汇编和一些实机运行跟踪。
因为壳的原因,可能分析的不准确。 :)
1、检查互斥体"xcgucvnzn",判断病毒是否已加载在内存中。
如存在,则退出,防止多个病毒体被执行。
2、创建文件:
C:37589.log 93696 字节
C:lsass.exe.1771547.exe 93696 字节
C:WINDOWSsystem32Comlsass.exe 93696 字节
C:WINDOWSsystem32Comsmss.exe 40960 字节
C:WINDOWSsystem32Comnetcfg.000 16384 字节
C:WINDOWSsystem32Comnetcfg.dll 16384 字节
C:WINDOWS
这东西接近无敌了:
绕主防/Hips、Byshell技术、监控文件、破组策略/IFEO、U盘感染
进程守护、关杀软、屏蔽安全工具、感染文件(带加密)、破坏安全模式等等
哈哈。
测试为反汇编和一些实机运行跟踪。
因为壳的原因,可能分析的不准确。 :)
1、检查互斥体"xcgucvnzn",判断病毒是否已加载在内存中。
如存在,则退出,防止多个病毒体被执行。
2、创建文件:
C:37589.log 93696 字节
C:lsass.exe.1771547.exe 93696 字节
C:WINDOWSsystem32Comlsass.exe 93696 字节
C:WINDOWSsystem32Comsmss.exe 40960 字节
C:WINDOWSsystem32Comnetcfg.000 16384 字节
C:WINDOWSsystem32Comnetcfg.dll 16384 字节
C:WINDOWS
http://www.hacker.com.cn/news/view.asp?id=781
“多么熟悉的名字,肆虐多少年风和雨,从来不需要想起,永远也不会忘记”。当记者听到微点反病毒专家介绍的一种新型病毒传播手段的时候,不禁想起了这熟悉的旋律——灰鸽子,这熟悉而又陌生的木马,“从来不需要想起,永远也不会忘记”。
据微点反病毒专家介绍,这例“Backdoor.Win32.GreyPigeon.ipa”灰鸽子木马变种的传播方式着实耐人寻味。黑客“煞费苦心”将木马程序植入一个CHM(一种帮助文件格式)文件(图1),从CHM页面上的几行文字我们不难分析出,这是一种基于“社会工程学”的钓鱼攻击手法(图1)。黑客首先诱惑广大网民,某某电影或视频存于某加密压缩文件内,密码则位于该CHM文件内。这样网友下载加密压缩视频之后,自然会去打开CHM 文件查找密码。所谓的“钓鱼攻击”,就是指黑客诱使网民上钩,和传统意义上的病毒自行传播有着本质的区别。这里面有一个细节很有意思,黑客为了确保最终显示效果,特意将繁体“解壓密碼”四个字用图片来显示,以防止因内码不同繁体字显示为乱码。从这个细节可以
“多么熟悉的名字,肆虐多少年风和雨,从来不需要想起,永远也不会忘记”。当记者听到微点反病毒专家介绍的一种新型病毒传播手段的时候,不禁想起了这熟悉的旋律——灰鸽子,这熟悉而又陌生的木马,“从来不需要想起,永远也不会忘记”。
据微点反病毒专家介绍,这例“Backdoor.Win32.GreyPigeon.ipa”灰鸽子木马变种的传播方式着实耐人寻味。黑客“煞费苦心”将木马程序植入一个CHM(一种帮助文件格式)文件(图1),从CHM页面上的几行文字我们不难分析出,这是一种基于“社会工程学”的钓鱼攻击手法(图1)。黑客首先诱惑广大网民,某某电影或视频存于某加密压缩文件内,密码则位于该CHM文件内。这样网友下载加密压缩视频之后,自然会去打开CHM 文件查找密码。所谓的“钓鱼攻击”,就是指黑客诱使网民上钩,和传统意义上的病毒自行传播有着本质的区别。这里面有一个细节很有意思,黑客为了确保最终显示效果,特意将繁体“解壓密碼”四个字用图片来显示,以防止因内码不同繁体字显示为乱码。从这个细节可以
在网上看到很多中毒求助的帖子。
一般人对于病毒木马的防范只是靠杀毒软件防范,现在杀毒软件越来越"垃圾"对于木马的清除出现了一些真空的现象。
在些把我自己的日常杀毒方法给大家介绍下,希望有所帮助吧。
一般的病毒木马,用不着进安全模式就可以解决。
但正常的病毒木马都必须进安全模式才能清除掉。(怎样进安全模式--在开机后一直按F8就会出现一队菜单,菜单中就有安全模式,现在有的机子可能不是F8,有F2,F11的。)
我水平不高,只能依靠工具,手工杀毒还是不大习惯。
用到的工具如下:
sreng2(用来清除启动项,观察HOSTS文件,浏览器加载项,服务项等。)这是最主要的工具。
IceSword(这主要用来删除文件,里面很多项我没掌握怎样用。)
下载地址:
http://iask.sina.com.cn/h/user.php?uid=1463023651
步骤如下:一.打开sreng2,先看启动项
这几项不删除外,其他启动项均可以删除。这样病毒木马就不能开机启动了。
然后再看启动文件夹,这里面的可以全部删除。
继续看服务,服务里有两个一个是应用程序
一般人对于病毒木马的防范只是靠杀毒软件防范,现在杀毒软件越来越"垃圾"对于木马的清除出现了一些真空的现象。
在些把我自己的日常杀毒方法给大家介绍下,希望有所帮助吧。
一般的病毒木马,用不着进安全模式就可以解决。
但正常的病毒木马都必须进安全模式才能清除掉。(怎样进安全模式--在开机后一直按F8就会出现一队菜单,菜单中就有安全模式,现在有的机子可能不是F8,有F2,F11的。)
我水平不高,只能依靠工具,手工杀毒还是不大习惯。
用到的工具如下:
sreng2(用来清除启动项,观察HOSTS文件,浏览器加载项,服务项等。)这是最主要的工具。
IceSword(这主要用来删除文件,里面很多项我没掌握怎样用。)
下载地址:
http://iask.sina.com.cn/h/user.php?uid=1463023651
步骤如下:一.打开sreng2,先看启动项
这几项不删除外,其他启动项均可以删除。这样病毒木马就不能开机启动了。
然后再看启动文件夹,这里面的可以全部删除。
继续看服务,服务里有两个一个是应用程序
http://www.tofree.org/Forum/simple/index.php?t478.html
Linux下IPMSG的实现
一、 IPMSG通信协议介绍
声明:下述协议内容略去了一些本程序中没有用到协议内容,最初的Ipmsg协议是用日文写的,下面协议内容由本人翻译自Mr.Kanazawa的英文文档。
IP信使传输协议(第9版草案) 1996/02/21
2003/01/14 修订
H.Shirouzu
shirouzu@h.email.ne.jp
关于IP信使:
IP信使使用TCP/UDP协议提供收发消息及文件(目录)。
特性:
IP信使能够安装在任何一个安装了TCP/IP协议栈的操作系统上,使用在线用户的动态识别机制,可以和在线所有用户进行信息交换。
运行机制介绍:
使用TCP/UDP端口(默认端口为2425),消息的收发使用UDP协议,文件(文件夹)的收发使用TCP协议。
1、 命令
Linux下IPMSG的实现
一、 IPMSG通信协议介绍
声明:下述协议内容略去了一些本程序中没有用到协议内容,最初的Ipmsg协议是用日文写的,下面协议内容由本人翻译自Mr.Kanazawa的英文文档。
IP信使传输协议(第9版草案) 1996/02/21
2003/01/14 修订
H.Shirouzu
shirouzu@h.email.ne.jp
关于IP信使:
IP信使使用TCP/UDP协议提供收发消息及文件(目录)。
特性:
IP信使能够安装在任何一个安装了TCP/IP协议栈的操作系统上,使用在线用户的动态识别机制,可以和在线所有用户进行信息交换。
运行机制介绍:
使用TCP/UDP端口(默认端口为2425),消息的收发使用UDP协议,文件(文件夹)的收发使用TCP协议。
1、 命令
http://www.hacker.com.cn/article/view_12984.html
非安全第6期陈莎莎写了篇文章<<通过p2p共享影视文件抓肉鸡>>,里边的抓肉鸡主要思路是在rm影音文件中插入网页木马的 url链接,用户看影音文件到某个时段弹出网页木马的url。其实,利用REALPLAYER本身的漏洞,直接做成网页木马,让用户在看rm的时候直接中马是有更好的效果。因为这样一来,此漏洞利用是与IE无关了,而且打REALPLAYER补丁的人少之又少,成功率还是很高的。只要装有 REALPLAYER或暴风影音支持smil格式等播放器的用户都会中招。
2005年3月份,REALPLAYER暴出安全漏洞,大体意思是:RealPlayer事一款媒体播放器。使用者可以以基于缓冲区溢出脆弱用协调的多媒体综合语言(smil)文件形式语法分析程序,这能允许一个存心不良的攻击者在一台脆弱的机器上运行任意的代码。受影响系统: Windows RealPlayer 10.5 (6.0.12.1040-1056)、Windows RealPlayer 10 、Windows RealOn
非安全第6期陈莎莎写了篇文章<<通过p2p共享影视文件抓肉鸡>>,里边的抓肉鸡主要思路是在rm影音文件中插入网页木马的 url链接,用户看影音文件到某个时段弹出网页木马的url。其实,利用REALPLAYER本身的漏洞,直接做成网页木马,让用户在看rm的时候直接中马是有更好的效果。因为这样一来,此漏洞利用是与IE无关了,而且打REALPLAYER补丁的人少之又少,成功率还是很高的。只要装有 REALPLAYER或暴风影音支持smil格式等播放器的用户都会中招。
2005年3月份,REALPLAYER暴出安全漏洞,大体意思是:RealPlayer事一款媒体播放器。使用者可以以基于缓冲区溢出脆弱用协调的多媒体综合语言(smil)文件形式语法分析程序,这能允许一个存心不良的攻击者在一台脆弱的机器上运行任意的代码。受影响系统: Windows RealPlayer 10.5 (6.0.12.1040-1056)、Windows RealPlayer 10 、Windows RealOn
pazza
眼见为虚—— 解析映像劫持技术 作者:小金
一. 诡异的中毒现象
在成品检验科文员办公室的一台电脑上折腾半个小时后,计算机维护部门的技术员只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的反应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“找不到”或死活不肯执行,莫非是在这台机器上被病毒破坏了?他只好打开网页尝试重新下载,但是他很快就绝望了,刚下载的查杀工具同样也不能使用。
无奈之下他只好在众多文员的期待下说出了大部分号称上门维护电脑的高手们常用的一句话,一般情况下这句话马上能让大部分用户接受残酷的现实,允许其重装系统,并为这次重装系统付出50元的价格,这句话就是:“系统文件严重损坏了,没法修了,只能重装。”
装完系统和常用办公软件后,他像一个贼似的赶紧离开了办公室,生怕多呆一会儿就会惹来什么麻烦似的,而他却不知道,“麻烦”早已在他刚才使用的U盘上安家了。回到自己的电脑前,他刚右键点
一. 诡异的中毒现象
在成品检验科文员办公室的一台电脑上折腾半个小时后,计算机维护部门的技术员只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的反应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“找不到”或死活不肯执行,莫非是在这台机器上被病毒破坏了?他只好打开网页尝试重新下载,但是他很快就绝望了,刚下载的查杀工具同样也不能使用。
无奈之下他只好在众多文员的期待下说出了大部分号称上门维护电脑的高手们常用的一句话,一般情况下这句话马上能让大部分用户接受残酷的现实,允许其重装系统,并为这次重装系统付出50元的价格,这句话就是:“系统文件严重损坏了,没法修了,只能重装。”
装完系统和常用办公软件后,他像一个贼似的赶紧离开了办公室,生怕多呆一会儿就会惹来什么麻烦似的,而他却不知道,“麻烦”早已在他刚才使用的U盘上安家了。回到自己的电脑前,他刚右键点
转自百度病毒吧,谢谢作者Glacier_lk
目前网络上最猖獗的病毒估计非木马程序莫数了,特别是在过去的2004年木马程序的攻击性也有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等,这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。
操作步骤:
1、通过自动运行机制查木马
一说到查找木马,许多人马上就会想到通过木马的启动项来寻找"蛛丝马迹",具体的地方一般有以下几处:
1)注册表启动项:
在"开始/运行"中输入"regedit.exe"打开注册表编辑器,依次展开[HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\
目前网络上最猖獗的病毒估计非木马程序莫数了,特别是在过去的2004年木马程序的攻击性也有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等,这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。
操作步骤:
1、通过自动运行机制查木马
一说到查找木马,许多人马上就会想到通过木马的启动项来寻找"蛛丝马迹",具体的地方一般有以下几处:
1)注册表启动项:
在"开始/运行"中输入"regedit.exe"打开注册表编辑器,依次展开[HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\
pazza
转http://hi.baidu.com/crazyyxb/blog/item/35e95bd11c00323b9b502724.html
一、首先说一下冰点的工作原理吧。(没有耐心的朋友可直接跳到第二部分看如何破解冰点还原6.0。)
可能不少人都看过网上广为流传的“DeepFreeze冰点原理”的帖子,为什么我还要再次重申其原理呢?因为我这个人是干技术工种的,深明理论对实践的重大指导意义,不了解事物的本质,技术永远只能停留在跟从的层面上;再者我觉得该帖根本就是说得不清不楚,而且有些地方还在误导人。
冰点和其它还原软件(如还原精灵、三茗一键恢复等)不一样,它并没有夺取南桥芯片的I0控制权,也没有控制硬盘的 INT13中断,它没有改写硬盘的MBR(主引导记录)。还原精灵、三茗一键恢复等通过改写硬盘的MBR的还原软件在操作系统加载之前就部分实现了其还原功能,而冰点则是利用驱动的形式加入操作系统的内核模块中来实现其还原功能的,它必须依附于原来的系统,一旦进入另外一个系统,它的还原功能就失效了。它的加载优先级非常高,而且加载之后在当前系统不能停止不能禁用也不能删除。下图通过软件的方法对冰点的内核驱动加以说明:
一、首先说一下冰点的工作原理吧。(没有耐心的朋友可直接跳到第二部分看如何破解冰点还原6.0。)
可能不少人都看过网上广为流传的“DeepFreeze冰点原理”的帖子,为什么我还要再次重申其原理呢?因为我这个人是干技术工种的,深明理论对实践的重大指导意义,不了解事物的本质,技术永远只能停留在跟从的层面上;再者我觉得该帖根本就是说得不清不楚,而且有些地方还在误导人。
冰点和其它还原软件(如还原精灵、三茗一键恢复等)不一样,它并没有夺取南桥芯片的I0控制权,也没有控制硬盘的 INT13中断,它没有改写硬盘的MBR(主引导记录)。还原精灵、三茗一键恢复等通过改写硬盘的MBR的还原软件在操作系统加载之前就部分实现了其还原功能,而冰点则是利用驱动的形式加入操作系统的内核模块中来实现其还原功能的,它必须依附于原来的系统,一旦进入另外一个系统,它的还原功能就失效了。它的加载优先级非常高,而且加载之后在当前系统不能停止不能禁用也不能删除。下图通过软件的方法对冰点的内核驱动加以说明:
pazza