| 【专家特稿】2007年病毒、木马、恶意程序异常活跃,大有横行互联网,我是病毒我怕谁之势。很多网友都曾丢失过个人信息,这包括游戏帐号、QQ号码,甚至银行帐户等,造成这些帐号丢失的元凶,大概归纳起来有三种病毒:一是QQ尾巴病毒,二是下载者病毒,三是网马病毒。
一、QQ尾巴病毒中毒症状:自动的向QQ所有好友列表发送一句话,内容多以色情,诈骗为主。如:“这是我的照片”,“最近好久不见,十分想念,我自己做了一个网站”,还有的是“我最近碰到一些困难,有没有钱能接济下,这是我的银行卡号和开户信息等”。
二、下载者病毒:通过移动存储介质感染,如U盘、手机存储卡、DV/DC的存储卡。通常该病毒会伪装成一个.jpg.exe文件,由于多数用户只注重jpg,却没有注重后缀的.exe,当点击运行后,病毒会自动下载大量的盗号木马和做键盘记录,驻留在系统temp文件里面。这样机器就被远程控制了,当用户进行网银交易时,帐号、密码统统的都被远程控制者得到。
三、网马顾名思义就是网页木马,一些入侵者用入侵技术得到一些大流量访问站点的后台帐号,在主站上面挂上编写好的网页木马,在一些访问者访问网站的时候被悄无声息的安装到了本机上面,成为了一个带菌者。现在网马的种类也很多,利用的途径也曾出不穷,最近比较流行的有迅雷0day网马,ppstream网马,pplive网马,realplayer网马。
上面简单介绍了流行病毒、木马,而最近,U盘病毒非常盛行,最典型的就是就是auto.exe病毒。如图1:
|
| 498)this.style.width=498;' onmousewheel = 'javascript:return big(this)' alt="" src="http://new.51cto.com/files/uploadimg/20071227/1400350.gif" border=0> |
| 图1 |
双击系统盘符时,出现让你选择用哪种关联文件打开的对话框,而右键单击时,弹出的菜单里增加了一个auto的选择,假如你的系统出现这个情况,那就代表系统已经被感染。
这种病毒出现已经有一段时间了,最近新变种为了躲避杀毒软件,利用了空字节写入,修改系统日期,以卡巴为例,如图2
| 498)this.style.width=498;' onmousewheel = 'javascript:return big(this)' height=409 alt="" src="http://new.51cto.com/files/uploadimg/20071227/1400351.gif" width=604 border=0> |
| 图2 |
上图中卡巴(avp)是灰色的,而系统日期时间为2005年12月10日,如图3:
| 498)this.style.width=498;' onmousewheel = 'javascript:return big(this)' height=335 alt="" src="http://new.51cto.com/files/uploadimg/20071227/1400352.gif" width=403 border=0> |
| 图3 |
我们把系统时间修改为正确后,再看一下下avp的颜色,如图4:
| 498)this.style.width=498;' onmousewheel = 'javascript:return big(this)' height=90 alt="" src="http://new.51cto.com/files/uploadimg/20071227/1400353.gif" width=299 border=0> |
| 图4 |
分析:
该病毒被种植后,会自动访问一个地址为xxxx.xxxxx.com 的站点,下载随机生成的7位编码.exe文件,这些exe文件都保存在c:\documents and settings 下的local setting目录下面的tempporary internet files文件目录里面如图5:
| 498)this.style.width=498;' onmousewheel = 'javascript:return big(this)' height=476 alt="" src="http://new.51cto.com/files/uploadimg/20071227/1400354.gif" width=644 border=0> |
| 图5 |
这里的update.txt和f2b4657b556.exe就是刚刚生成的木马程序,这个f2b4657b556.exe是随机生成的,经过测试,每次都不一样。病毒为了保全自己还会在system32下面生成大量的dll文件。如图6:
| 498)this.style.width=498;' onmousewheel = 'javascript:return big(this)' height=476 alt="" src="http://new.51cto.com/files/uploadimg/20071227/1400355.gif" width=657 border=0> |
| 图6 |
从文件生成日期来看,都是最新生成的文件,而此前未中auto.exe的时候是没有这些DLL文件的,里面还有一个随机生成的.exe文件,生成日期为,12月9日。通过查看系统隐藏文件可以看到这些文件,在所有硬盘分区中都有auto.exe和autoruan.inf。直接删除是肯定不成的。因为在Windows目录里面,还有很多生成文件,比如扩展名为exe和log的文件及文件夹,如图7
| 498)this.style.width=498;' onmousewheel = 'javascript:return big(this)' height=479 alt="" src="http://new.51cto.com/files/uploadimg/20071227/1400356.gif" width=641 border=0> |
| 图6 |
由于auto.exe带有进程注射,不能直接删除system32文件夹下新生成的dll和exe文件,可以使用icesword找出有问题的进程。先终止可疑相关进程,再删除文件。
下面是可疑文件:
upxdnd.dll,LotusHlp.dll,mppds.dll,SHQ.dll,SHQMANGR.dll,LYMANGR.dll,mhshal.dat,LYLOADMR.exe,K119742729615.exe,K119742729312.exe,LHOADER.exe
假如装了专用防火墙,则会弹出如下提示框:
| 498)this.style.width=498;' onmousewheel = 'javascript:return big(this)' height=293 alt="" src="http://new.51cto.com/files/uploadimg/20071227/1400357.gif" width=407 border=0> |
| 图7 |
来源:51CTO.COM
共2页: 上一页 1 [2] 下一页
里搜索更多
里搜索更多