本文目錄一覽:
- 1、網站被反覆掛Suspicious.ShellCode.Exploit木馬
- 2、ThinkPHP開發框架曝安全漏洞,超過4.5萬家中文網站受影響
- 3、急!急!急!急!急!網站被掛Suspicious.ShellCode.Exploit木馬,怎樣清除啊?請高手幫忙解決。。。
- 4、PHP繞過open_basedir限制操作文件的三種方法
- 5、有關病毒的問題
- 6、世界最強的十大電腦病毒是什麼
網站被反覆掛Suspicious.ShellCode.Exploit木馬
首先直接刪是治標不治本的,用不了幾天還會被掛的
看源文件也是沒有用的,可能寫在你的其他包含文件里或者JS文件或者資料庫里!下面講被掛馬後的一般查馬和解決方法。
網頁中被插入Js/iframe的可能性的途徑:
雖然問題簡單,但詳細說起來從伺服器、傳輸過程和客戶端3個層次來分析。
1、就伺服器而言存在的可能:
(1) 直接修改網頁插入,現象是網頁被改動了。
(2) 通過ISAPI Filter插入,現象是出現了陌生的ISAPI載入項。
(3) 通過IIS的腳註插入,現象是腳註設置被啟用了。
(4) 通過網路TDI或NDIS插入,現象是出現了不知名的網路驅動類程序。
(5)「一句話木馬」!這通常不被注意,但有一個功能可以把網站所有的首頁和包含文件都自動加上代碼的文件!
2、就傳輸過程存在的可能:
(1) 路由器被劫持,現象是只要通過某個路由器訪問則出現代碼,否則就沒有。
(2) ARP欺騙,現象是arp表顯然不正確。
3、就客戶端存在的可能:
(1) 惡意程序或惡意插件,現象是其他機器訪問網站就沒有被插入代碼。
被掛馬後查找步驟:
1.先看看上傳目錄下面有沒有可疑的ASP文件
2.然後再根據文件修改時間看看最近修改的文件哪些可疑
3.把上面搞清楚,應該就可以找到根源了。
伺服器安全配置(WIN吧,其它的我也不是很了解):
幾個關鍵ASP組件漏的問題。
① 刪除或更名以下危險的ASP組件:
WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application
開始——-運行———Regedit,打開註冊表編輯器,按Ctrl+F查找,依次輸入以上 Wscript.Shell等組件名稱以及相應的ClassID,
然後進行刪除或者更改名稱(這裡建議大家更名,如果有部分網頁ASP程序利用了上面的組 件的話呢,
只需在將寫ASP代碼的時候用我們更改後的組件名稱即可正常使用。
當然如果你確信你的ASP程序中沒有用到以上組件,還是直接刪除心中踏實一些 ^_^,
按常規一般來說是不會做到以上這些組件的。刪除或更名後,iisreset重啟IIS後即可升效。)
[注意:由於Adodb.Stream這個組件有很多網頁中將用到,所以如果你的伺服器是開虛擬主機的話,建議酢情處理。]
② 關於 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常說的FSO的安全問題,如果您的伺服器必需要用到 FSO的話,(部分虛擬主機伺服器一般需開FSO功能)
可以參照本人的另一篇關於FSO安全解決辦法的文章:Microsoft Windows 2000 Server FSO
安全隱患解決辦法。如果您確信不要用到的話,可以直接反註冊此組件即可。
③ 直接反註冊、卸載這些危險組件的方法:(實用於不想用①及②類此類煩瑣的方法)
卸載wscript.shell對象,在cmd下或直接運行:regsvr32 /u %windir%\system32\WSHom.Ocx
卸載FSO對象,在cmd下或直接運行:regsvr32.exe /u %windir%\system32\scrrun.dll
卸載stream對象,在cmd下或直接運行: regsvr32 /s /u “C:\Program Files\Common Files\System\ado\msado15.dll”
如果想恢復的話只需要去掉 /U 即可重新再註冊以上相關ASP組件例如:regsvr32.exe %windir%\system32\scrrun.dll
卸載這些危險組件的方法:(實用於不想用①及②類此類煩瑣的方法)
卸載wscript.shell對象,在cmd下或直接運行:regsvr32 /u %windir%\system32\WSHom.Ocx
卸載FSO對象,在cmd下或直接運行:regsvr32.exe /u %windir%\system32\scrrun.dll
卸載stream對象,在cmd下或直接運行: regsvr32 /s /u “C:\Program Files\Common Files\System\ado\msado15.dll”
如果想恢復的話只需要去掉 /U 即可重新再註冊以上相關ASP組件例如:regsvr32.exe %windir%\system32\scrrun.dll
防止海洋木馬列出WIN伺服器的用戶和進程
禁用服務裡面倒數第二個 workstation 服務,可以防止列出用戶和服務
c:\
administrators 全部
system 全部
iis_wpg 只有該文件夾
列出文件夾/讀數據
讀屬性
讀擴展屬性
讀取許可權
c:\inetpub\mailroot
administrators 全部
system 全部
service 全部
c:\inetpub\ftproot
everyone 只讀和運行
c:\windows
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
IIS_WPG 讀取和運行,列出文件夾目錄,讀取
Users 讀取和運行(此許可權最後調整完成後可以取消)
C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
Users 讀取和運行,列出文件夾目錄,讀取
C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
Users 讀取和運行,列出文件夾目錄,讀取
C:\WINDOWS\Microsoft.Net\temporary ASP.NET Files
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
Users 全部
c:\Program Files
Everyone 只有該文件夾
不是繼承的
列出文件夾/讀數據
administrators 全部
iis_wpg 只有該文件夾
列出文件/讀數據
讀屬性
讀擴展屬性
讀取許可權
c:\windows\temp
Administrator 全部許可權
System全部許可權
users 全部許可權
c:\Program Files\Common Files
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
TERMINAL SERVER Users(如果有這個用戶)
修改,讀取和運行,列出文件夾目錄,讀取,寫入
Users 讀取和運行,列出文件夾目錄,讀取
c:\Program Files\Dimac(如果有這個目錄)
Everyone 讀取和運行,列出文件夾目錄,讀取
administrators 全部
c:\Program Files\ComPlus Applications (如果有)
administrators 全部
c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是繼承的
只有子文件夾及文件
完全
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
TERMINAL SERVER Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
Users 讀取和運行,列出文件夾目錄,讀取
Everyone 讀取和運行,列出文件夾目錄,讀取
c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部
c:\Program Files\WindowsUpdate
Creator owner
不是繼承的
只有子文件夾及文件
完全
administrators 全部
Power Users
修改,讀取和運行,列出文件夾目錄,讀取,寫入
system 全部
c:\Program Files\Microsoft SQL(如果SQL安裝在這個目錄)
administrators 全部
Service 全部
system 全部
d:\ (如果用戶網站內容放置在這個分區中)
administrators 全部許可權
d:\FreeHost (如果此目錄用來放置用戶網站內容)
administrators 全部許可權
SERVICE 讀取與運行
從安全形度,我們建議WebEasyMail(WinWebMail)安裝在獨立的盤中,例如E:
E:\(如果webeasymail安裝在這個盤中)
administrators 全部許可權
system 全部許可權
IUSR_*,默認的Internet來賓帳戶(或專用的運行用戶)
讀取與運行
E:\WebEasyMail (如果webeasymail安裝在這個目錄中)
administrators 全部
system 全部許可權
SERVICE全部
IUSR_*,默認的Internet來賓帳戶 (或專用的運行用戶)
全部許可權
C:\php\uploadtemp
C:\php\sessiondata
everyone
全部
C:\php\
administrators 全部
system 全部許可權
SERVICE全部
Users 只讀和運行
c:\windows\php.ini
administrators 全部
system 全部許可權
SERVICE全部
Users 只讀和運行
修改該Clsid的值而禁用該組件,如將註冊表中HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID的值0D43FE01-F093-11CF-8940-00A0C9054228改成0D43FE01-F093-11CF-8940-00A0C9054229(改了最後面一位),這時候的寫法為:
CF-8940-00A0C9054229″
1.啟用Windows自帶防火牆,並開放80 21 3306 52013 埠.(想開什麼埠自己加)
2.刪除以下的註冊表主鍵:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1
regsvr32 /u wshom.ocx回車、regsvr32 /u wshext.dll回車
3.刪除沒有必要的儲存過程
use master
EXEC sp_dropextendedproc ‘xp_cmdshell’
EXEC sp_dropextendedproc ‘Sp_OACreate’
EXEC sp_dropextendedproc ‘Sp_OADestroy’
EXEC sp_dropextendedproc ‘Sp_OAGetErrorInfo’
EXEC sp_dropextendedproc ‘Sp_OAGetProperty’
EXEC sp_dropextendedproc ‘Sp_OAMethod’
EXEC sp_dropextendedproc ‘Sp_OASetProperty’
EXEC sp_dropextendedproc ‘Sp_OAStop’
EXEC sp_dropextendedproc ‘Xp_regaddmultistring’
EXEC sp_dropextendedproc ‘Xp_regdeletekey’
EXEC sp_dropextendedproc ‘Xp_regdeletevalue’
EXEC sp_dropextendedproc ‘Xp_regenumvalues’
EXEC sp_dropextendedproc ‘Xp_regread’
EXEC sp_dropextendedproc ‘Xp_regremovemultistring’
EXEC sp_dropextendedproc ‘Xp_regwrite’
drop procedure sp_makewebtask
4.禁用Workstation服務,防止ASP木馬列出用戶.
5.關閉默認共享防止LAN內IPC入侵。可以用批處理來實現.如下:
echo off
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
保存為bat放到C:\Documents and Settings\All Users\「開始」菜單\程序\啟動 即可
6.定時重啟IIS服務及SQL服務.釋放資源.可以用計劃任務來實現.怎麼弄自己想去。
7.設置終端登陸許可權,只允許授權用戶登陸.開始-程序-管理工具-終端服務配置-RDP-屬性-許可權
Administrator
chadmin
system
完全控制,不過儘管這樣還是有一定的不安全,克隆個帳戶就得了.建議限制IP登陸.儘管這樣還是不安全滴,人家可以映射終端埠.最好的就是把伺服器搞得上沒得網.用IP安全策略可以做到.
8.Serv-U改一下本地管理密碼,防止本地溢出.設置一下FTP域安全性,選擇允許SSL/TLS和規則會話.
ThinkPHP開發框架曝安全漏洞,超過4.5萬家中文網站受影響
據外媒ZDNet報道,近期有超過4.5萬家中文網站被發現容易遭到來自黑客的攻擊,而導致這一安全風險出現的根源僅僅是因為一個ThinkPHP漏洞。
報道稱,有多家網路安全公司在近期都發現了針對運行著基於ThinkPHP的Web應用程序的伺服器的掃描活動。ThinkPHP是一個快速、兼容而且簡單的輕量級國產PHP開發框架,支持Windows/Unix/Linux等伺服器環境,以及MySql、PgSQL、Sqlite多種資料庫和PDO插件,在國內 Web 開發領域非常受歡迎。
另外,所有這些掃描活動都是在網路安全公司VulnSpy將一個ThinkPHP漏洞的概念驗證代碼(PoC)發布到ExploitDB網站上之後開始進行的。這裡需要說明的是,ExploitDB是一家提供免費託管漏洞利用代碼的熱門網站。
VulnSpy公司發布的概念驗證代碼利用了一個存在於ThinkPHP開發框架invokeFunction 函數中的漏洞,以在底層伺服器上執行任意代碼。值得注意的是,這個漏洞可以被遠程利用,且允許攻擊者獲得對伺服器的完全控制許可權。
「PoC是在12月11日發布的,我們在不到24小時之後就看到了相關的互聯網掃描。」 網路安全公司Bad Packets LLC的聯合創始人Troy Mursch告訴ZDNet。
隨後,其他四家安全公司——F5 Labs、GreyNoise、NewSky Security和Trend Micro也報道了類似的掃描。並且,這些掃描在接下來的幾天里一直呈上升趨勢。
與此同時,開始利用這個ThinkPHP 漏洞來開展攻擊活動的黑客組織也在不斷增加。到目前為止,被確認的黑客組織至少包括:最初利用該漏洞的攻擊者、一個被安全專家命名為「D3c3mb3r」的黑客組織、以及另一個利用該漏洞傳播Miori IoT惡意軟體的黑客組織。
由Trend Micro檢測到的最後一組數據還表明,旨在傳播Miori IoT惡意軟體的黑客組織似乎想要利用該漏洞來入侵家用路由器和物聯網設備的控制面板,因為Miori無法在實際的Linux伺服器上正常運行。
此外,從NewSky Security檢測到另一組掃描來看,攻擊者試圖在運行著基於ThinkPHP的Web應用程序的伺服器上運行Microsoft Powershell命令。NewSky Security的首席安全研究員Ankit Anubhav告訴ZDNet,「這些Powershell命令看上去有些多餘。實際上,攻擊者擁有的一些代碼完全可以用來檢查操作系統的類型,並為不同的Linux伺服器運行不同的漏洞利用代碼,運行Powershell命令可能只是為了碰碰運氣。」
事實上,最大規模掃描的發起者應該是上述被被安全專家命名為「D3c3mb3r」的黑客組織。但這個組織並沒有做任何特別的事情。他們沒有使用加密貨幣礦工或其他任何惡意軟體來感染伺服器。他們只是掃描易受攻擊的伺服器,然後運行一個基本的「echo hello d3c3mb3r」命令。
Ankit Anubhav告訴ZDNet:「我不確定他們的動機。」
根據Shodan搜索引擎的統計,目前有超過45800台運行著基於ThinkPHP的Web應用程序的伺服器可在線訪問。其中,有超過40000台託管在中國IP地址上。這主要是由於ThinkPHP的文檔僅提供了中文版本,因此不太可能在國外被使用。這也是解釋了為什麼被認為易遭到攻擊的網站大部分都是中文網站。
安全專家認為,隨著越來越多的黑客組織了解到這種入侵 Web 伺服器的方法,對中文網站的攻擊也必然會有所增加。
此外,F5 Labs已經公布了有關這個ThinkPHP 漏洞的技術分析和POC的工作原理,大家可以通過點擊這裡進行查看。
本文由 黑客視界 綜合網路整理,圖片源自網路;轉載請註明「轉自黑客視界」,並附上鏈接。
急!急!急!急!急!網站被掛Suspicious.ShellCode.Exploit木馬,怎樣清除啊?請高手幫忙解決。。。
Suspicious.ShellCode.Exploit是通過特定的網頁,以代碼漏洞溢出方式(ShellCode.Exploit),執行windows explorer.exe 從而達到特定目的(木馬 提權等)
由於沒有提供相關日誌,所以我只能泛泛的說一下:
首先,可以肯定的是 你們網站被入侵過,注意後門以及賬號的變化情況(包括克隆)。
然後,查找出掛馬頁面,直接刪除或者從網頁代碼里刪除。
最後,從新掃描一下,並打好補丁,監聽重要埠,保護好日誌(防火牆 iss 殺毒軟體等等)
PHP繞過open_basedir限制操作文件的三種方法
由於open_basedir的設置對system等命令執行函數是無效的,所以我們可以使用命令執行函數來訪問限制目錄。
我們首先創建一個目錄
且在該目錄下新建一個1.txt 內容為abc
再在該目錄下創建一個目錄命名為b
並且在該目錄下創建一個1.php文件內容為
且在php.ini中設置好我們的open_basedir
我們嘗試執行1.php看看open_basedir是否會限制我們的訪問
執行效果如圖
很明顯我們無法直接讀取open_basedir所規定以外的目錄文件。
接下來我們用system函數嘗試繞open_basedir的限制來刪除1.txt
編輯1.php為
先來看看執行1.php之前的文件情況
執行1.php之後
我們先來了解一下symlink函數
symlink函數將建立一個指向target的名為link的符號鏈接,當然一般情況下這個target是受限於open_basedir的。
由於早期的symlink不支持windows,我的測試環境就放在Linux下了。
測試的PHP版本是5.3.0,其他的版本大家自測吧。
在Linux環境下我們可以通過symlink完成一些邏輯上的繞過導致可以跨目錄操作文件。
我們首先在/var/www/html/1.php中 編輯1.php的內容為
接著在/var/www/中新建一個1.txt文件內容為
再來設置一下我們的open_basedir
在html目錄下編輯一個php腳本檢驗一下open_basedir
執行看下。
意料之中,文件無法訪問。
我們執行剛才寫好的腳本,1.php
此時tmplink還是一個符號鏈接文件,它指向的路徑是c/d,因此exploit指向的路徑就變成了
由於這個路徑在open_basedir的範圍之內所以exploit成功建立了。
之後我們刪除tmplink符號鏈接文件再新建一個同名為tmplink的文件夾,這時exploit所指向的路徑為
由於這時候tmplink變成了一個真實存在的文件夾所以tmplink/../../變成了1.txt所在的目錄即/var/www/
然後再通過訪問符號鏈接文件exploit即可直接讀取到1.txt的文件內容
當然,針對symlink()只需要將它放入disable_function即可解決問題,所以我們需要尋求更多的方法。
glob是php自5.3.0版本起開始生效的一個用來篩選目錄的偽協議,由於它在篩選目錄時是不受open_basedir的制約的,所以我們可以利用它來繞過限制,我們新建一個目錄在/var/www/下命名為test
並且在/var/www/html/下新建t.php內容為
執行結果如圖:
成功躲過open_basedir的限制讀取到了文件。
有關病毒的問題
2007年十大病毒檔案,當前流行病毒多為他們的變種。
一、U盤寄生蟲
病毒名稱:Virus.Autorun.gr
中 文 名:”U盤寄生蟲”變種gr
病毒長度:22096位元組
病毒類型:蠕蟲
危險級別:★★
影響平台:Win 9X/ME/NT/2000/XP/2003
Virus.Autorun 「U盤寄生蟲」是一個利用U盤等移動設備進行傳播的蠕蟲。「U
盤寄生蟲」是針對autorun.inf這樣的自動播放文件的蠕蟲病毒。 autorun.inf文件
一般存在於U盤、MP3、移動硬碟和硬碟各個分區的根目錄下,當用戶雙擊U盤等設備
的時候,該文件就會利用Windows系統的自動播放功能優先運行autorun.inf文件,而
該文件就會立即執行所要載入的病毒程序,從而破壞用戶計算機,使用戶計算機遭受
損失。
專殺下載:
二、ARP病毒
病毒名稱:「ARP」類病毒
病毒中文名:「ARP」類病毒
病毒類型:木馬
危險級別:★★★
影響平台:Win 9X/ME/NT/2000/XP/2003
描述:ARP地址欺騙類病毒(以下簡稱ARP病毒)是一類特殊的病毒,該病毒一般
屬於木馬(Trojan)病毒,不具備主動傳播的特性,不會自我複製。但是由於其發作的
時候會向全網發送偽造的ARP數據包,干擾全網的運行,因此它的危害比一些蠕蟲還
要嚴重得多。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP
通信量使網路阻塞或者實現「man in the middle」 進行ARP重定向和嗅探攻擊。用
偽造源MAC地址發送ARP響應包,對ARP高速緩存機制的攻擊。當區域網內某台主機運
行ARP欺騙的木馬程序時,會欺騙區域網內所有主機和路由器,讓所有上網的流量必
須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切
換的時候用戶會斷一次線。切換到病毒主機上網後,如果用戶已經登陸了傳奇伺服器
,那麼病毒主機就會經常偽造斷線的假像,那麼用戶就得重新登錄傳奇伺服器,這樣
病毒主機就可以盜號了。
專殺下載:
三、網遊大盜
病毒名稱:Trojan/PSW.GamePass.jws
中 文 名:「網遊大盜」變種jws
病毒長度:13739位元組
病毒類型:木馬
危害等級:★★
影響平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.GamePass.jws「網遊大盜」變種jws是「網遊大盜」木馬家族最新變
種之一,採用Visual C++編寫,並經過加殼處理。「網遊大盜」變種jws運行後,會
將自我複製到Windows目錄下,自我註冊為「Windows_Down」系統服務,實現開機自
啟。該病毒會盜取包括「傳奇世界」、「魔獸世界」、「完美世界」、「征途」、「
武林外傳」等多款網遊玩家的帳戶和密碼,並且會下載其它病毒到本地運行。玩家計
算機一旦中毒,就可能導致遊戲帳號、裝備等丟失,給玩家帶來損失。
專殺下載:
四、MSN性感相冊
病毒名稱:Worm/MSN.SendPhoto.a
中 文 名:性感相冊
病毒類型:蠕蟲
危害等級:★★
影響平台:Win 9X/ME/NT/2000/XP/2003
病毒運行特徵:
該病毒運行時,會通過MSN即時聊天工具向MSN上的好友發送大小為479382 位元組
的photos.zip 病毒包,該壓縮包裡面包含名為photos album-2007-5-26.scr病毒文
件,同時會隨機向好友發送一些帶有誘惑性的信息,如:「看看我的性感相片」,「
聖誕節快樂」等。
專殺下載:
l
五、ANI病毒
病毒名稱:Exploit.ANIfile
病毒中文名:ANI病毒
病毒類型:蠕蟲
危險級別:★★
影響平台:Windows 2000/XP/2003/Vista
描述:以Exploit.ANIfile.b為例,「ANI毒」變種b是一個利用微軟Windows系統
ANI文件處理漏洞(MS07-017)進行傳播的網路蠕蟲。「ANI毒」變種b運行後,自我復
制到系統目錄下。修改註冊表,實現開機自啟動。感染正常的可執行文件和本地網頁
文件,並下載大量木馬程序。感染本地磁碟和網路共享目錄下的多種類型的網頁文件
(包括*.HTML,*.ASPX,*.HTM,*.PHP,*.JSP,*.ASP),植入利用ANI文件處理漏
洞的惡意代碼。自我複製到各邏輯盤根目錄下,並創建autorun.inf自動播放配置文
件。雙擊盤符即可激活病毒,造成再次感染。修改hosts 文件,屏蔽多個網址,這些
網址大多是以前用來傳播其它病毒的站點。另外,「ANI毒」變種b還可以利用自帶的
SMTP引擎通過電子郵件進行傳播。
專殺下載:
六、機器狗病毒
病毒名稱:Trojan/Agent.pgz
中 文 名:機器狗
病毒類型:木馬
危害等級:★★★
影響平台:Win 9X/ME/NT/2000/XP/2003
病毒運行特徵:
「機器狗」病毒主要在網吧等使用系統還原軟體以及硬碟還原卡的環境下發作。
病毒運行後,會在%WinDir%\System32 \drivers 目錄下釋放出一個名為pcihdd.sys
的驅動程序,該文件會接管冰點或者硬碟保護卡對硬碟的讀寫操作,這樣該病毒就破
解了還原系統的保護,使冰點、硬碟保護卡實效。接著,該病毒會利用 MS06-014和
MS07-017系統漏洞和等多個應用軟體漏洞,從***.com/ 、
***.biz/ 、***.com/ 等惡意網址下載多款網遊木馬,
盜取包括傳奇、魔獸世界、征途、奇蹟等多款網遊帳號和密碼,嚴重威脅遊戲玩家數
字財產的安全。正因為還原軟體和硬碟保護卡大多在網吧使用,因此網吧成為該病毒
發作的重災區。
專殺下載:
七、代理木馬
病毒名稱:Trojan/Agent
病毒中文名:代理木馬
病毒類型:木馬
危險級別:★★
影響平台:Win 9X/ME/NT/2000/XP/2003
描述:盜取用戶機密信息,下載惡意程序。
「代理木馬」及其變種是一個盜取用戶計算機上機密信息的木馬程序。「代理木
馬」變種cfd運行後,自我複製到Windows目錄下。修改註冊表,實現開機自啟。偵聽
黑客指令,盜取用戶計算機上的機密信息,並將機密信息發送到黑客指定的郵箱里。
「代理木馬」會從網上下載大量的惡意程序,通過系統漏洞感染目標電腦,中毒電腦
可能會成為黑客操縱的「肉雞」,嚴重威脅電腦中的數據安全。
專殺下載:
八、AV殺手
病毒名稱:Trojan/KillAV.ak
中 文 名:「AV殺手」變種ak
病毒長度:19293位元組
病毒類型:木馬
危險級別:★★
影響平台:Win 9X/ME/NT/2000/XP/2003
Trojan/KillAV.ak「AV殺手」變種ak是「AV殺手」木馬家族的最新成員之一,采
用Delphi語言編寫,並經過加殼處理。 「AV殺手」變種ak運行後,自我修改文件屬
性為「隱藏」。強行篡改註冊表相關鍵值,致使文件夾選項中的「顯示隱藏文件」功
能失效。利用Windows映像劫持技術(IFEO),修改註冊表,致使許多與安全相關的
軟體無法啟動運行。在被感染計算機的後台調用系統「spoolsv.exe」進程,將惡意
代碼注入其中並調用運行,隱藏自我,防止被查殺。在後台連接駭客指定遠程伺服器
站點,下載惡意程序並在被感染計算機上自動調用運行。在所有盤根目錄下生成
「autorun.inf」文件(磁碟映像劫持文件)和病毒體文件,實現用戶一雙擊盤符就
啟動「AV殺手」變種ak運行的功能。
專殺下載:
九、Real腳本病毒
病毒名稱:Exploit.JS.Real
中文名:Real腳本病毒
病毒長度:可變
類型:網頁腳本
危害等級:★★★
影響平台: Windows98/2000/2003/xp
描述:Real腳本病毒是利用RealPlayer播放器ActiveX控制項安全漏洞的惡意網頁
腳本,常用於自動下載執行木馬程序。病毒隱藏在Real格式的視頻文件中,用戶一旦
下載點擊運行便會立刻中毒,許多熱衷於網上下載視頻文件的電腦用戶因此中毒。
專殺下載:
十、熊貓燒香
病毒名稱:Worm.WhBoy.h
中文名:「熊貓燒香」
病毒長度:可變
病毒類型:蠕蟲
危害等級:★★★★
影響平台:Win9X/ME/NT/2000/XP/2003
以Worm.WhBoy.h為例,熊貓燒香是一個由Delphi工具編寫的蠕蟲病毒,能夠終止
大量的反病毒軟體和防火牆軟體進程,病毒會刪除擴展名為gho的文件,使用戶無法
使用ghost軟體恢復操作系統。「熊貓燒香」感染系統的*.exe、*.com、*.pif、
*.src、*.html、*.asp文件,添加病毒網址,導致用戶一打開這些網頁文件,IE就會
自動連接到指定的病毒網址中下載病毒。在硬碟各個分區下生成文件autorun.inf和
setup.exe.病毒還可以通過U盤和移動硬碟等方式進行傳播,並且利用 Windows系統
的自動播放功能來運行。
「熊貓燒香」還可以修改註冊表啟動項,以使自身隨操作系統同步運行。搜索硬
盤中的*.EXE可執行文件並感染文件,被感染的文件圖標變成「熊貓燒香」的圖案。
病毒還可以通過共享文件夾、系統弱口令等多種方式進行傳播。
專殺下載:
補充:
這些流行病毒,如果不是最新變種各大殺毒軟體都可以防護,所以最最管用的就是保
持殺毒軟體病毒庫最新,不推薦手動查殺。另外如果你不能不夠你完成任務建議你補
充下面的內容
你google一下 最新病毒及清除 然後補充到上面應該就完美了。
歡迎訪問我的空間
世界最強的十大電腦病毒是什麼
一、ANI病毒 病毒名稱:Exploit.ANIfile 病毒中文名:ANI病毒 病毒類型:蠕蟲 危險級別:★★ 影響平台:Windows 2000/XP/2003/Vista 描述: 以Exploit.ANIfile.b為例,「ANI毒」變種b是一個利用微軟Windows系統ANI文件處理漏洞(MS07-017)進行傳播的網路蠕蟲。「ANI毒」變種b運行後,自我複製到系統目錄下。修改註冊表,實現開機自啟動。感染正常的可執行文件和本地網頁文件,並下載大量木馬程序。感染本地磁碟和網路共享目錄下的多種類型的網頁文件(包括*.HTML,*.ASPX,*.HTM,*.PHP,*.JSP,*.ASP),植入利用ANI文件處理漏洞的惡意代碼。自我複製到各邏輯盤根目錄下,並創建autorun.inf自動播放配置文件。雙擊盤符即可激活病毒,造成再次感染。修改hosts文件,屏蔽多個網址,這些網址大多是以前用來傳播其它病毒的站點。另外,「ANI毒」變種b還可以利用自帶的SMTP引擎通過電子郵件進行傳播。 二、U盤寄生蟲 病毒名稱:Checker/Autorun 病毒中文名:U盤寄生蟲 病毒類型:蠕蟲 危險級別:★★ 影響平台:Win 9X/ME/NT/2000/XP/2003 描述:Checker/Autorun「U盤寄生蟲」是一個利用U盤等移動設備進行傳播的蠕蟲。「U盤寄生蟲」是針對autorun.inf這樣的自動播放文件的蠕蟲病毒。autorun.inf文件一般存在於U盤、MP3、移動硬碟和硬碟各個分區的根目錄下,當用戶雙擊U盤等設備的時候,該文件就會利用Windows系統的自動播放功能優先運行autorun.inf文件,而該文件就會立即執行所要載入的病毒程序,從而破壞用戶計算機,使用戶計算機遭受損失。 三、熊貓燒香 病毒名稱:Worm/Viking 病毒中文名:熊貓燒香 病毒類型:蠕蟲 危險級別:★★★ 影響平台:Win 9X/ME/NT/2000/XP/2003 描述:以Worm/Viking.qo.Html「威金」變種qo(熊貓燒香腳本病毒)為例,該病毒是由「熊貓燒香」蠕蟲病毒感染之後的帶毒網頁,該網頁會被「熊貓燒香」蠕蟲病毒注入一個iframe框架,框架內包含惡意網址引用 ,這樣,當用戶打開該網頁之後,如果IE瀏覽器沒有打上補丁,IE就會自動下載並且執行惡意網址中的病毒體,此時用戶電腦就會成為一個新的病毒傳播源,進而感染區域網中的其他用戶計算機。 四、「ARP」類病毒 病毒名稱:「ARP」類病毒 病毒中文名:「ARP」類病毒 病毒類型:木馬 危險級別:★★★ 影響平台:Win 9X/ME/NT/2000/XP/2003 描述:通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網路中產生大量的ARP通信量使網路阻塞或者實現「man in the middle」 進行ARP重定向和嗅探攻擊。 用偽造源MAC地址發送ARP響應包,對ARP高速緩存機制的攻擊。當區域網內某台主機運行ARP欺騙的木馬程序時,會欺騙區域網內所有主機和路由器,讓所有上網的流量必須經過病毒主機。其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。切換到病毒主機上網後,如果用戶已經登陸了傳奇伺服器,那麼病毒主機就會經常偽造斷線的假像,那麼用戶就得重新登錄傳奇伺服器,這樣病毒主機就可以盜號了。 五、代理木馬 病毒名稱:Trojan/Agent 病毒中文名:代理木馬 病毒類型:廣告程序 危險級別:★★ 影響平台:Win 9X/ME/NT/2000/XP/2003 描述:以「代理木馬」變種crd為例, Trojan/Agent.crd是一個盜取用戶機密信息的木馬程序。「代理木馬」變種crd運行後,自我複製到系統目錄下,文件名隨機生成。修改註冊表,實現開機自啟。從指定站點下載其它木馬,偵聽黑客指令,盜取用戶機密信息。 六、網遊大盜 病毒名稱:Trojan/PSW.GamePass 病毒中文名:網遊大盜 病毒類型:木馬 危險級別:★ 影響平台:Win 9X/ME/NT/2000/XP/2003 描述:以Trojan/PSW.GamePass.hvs為例,「網遊大盜」變種hvs是一個木馬程序,專門盜取網路遊戲玩家的帳號、密碼、裝備等。 七、鞋匠 病毒名稱:Adware/Clicker 病毒中文名:鞋匠 病毒類型:廣告程序 危險級別:★ 影響平台:Win 9X/ME/NT/2000/XP/2003 描述:以Adware/Clicker.je為例,「鞋匠」變種je是一個廣告程序,可彈出大量廣告信息,並在被感染計算機上下載其它病毒。「鞋匠」變種je運行後,在Windows目錄下創建病毒文件。修改註冊表,實現開機自啟。自我註冊為服務,服務的名稱隨機生成。偵聽黑客指令,連接指定站點,彈出大量廣告條幅,用戶一旦點擊帶毒廣告,立即在用戶計算機上安裝其它病毒。 八、廣告泡泡 病毒名稱:Adware/Boran 病毒中文名:廣告泡泡 病毒類型:廣告程序 危險級別:★★ 影響平台:Win 9X/ME/NT/2000/XP/2003 描述:以 Adware/Boran.e為例,「廣告泡泡」變種e是一個廣告程序,採用RootKit等底層技術編寫,一旦安裝,很難卸載徹底。該程序會在C:\Program Files\MMSAssist下釋放出病毒文件。在後台定時彈出廣告窗口,佔用系統資源,干擾用戶操作。 九、埃德羅 病毒名稱:TrojanDownloader 病毒中文名:埃德羅 病毒類型:廣告程序 危險級別:★ 影響平台:Win 2000/XP/2003 描述: Adware/Adload.ad「埃德羅」變種ad是一個廣告程序,在被感染計算機上強制安裝廣告。 十、IstBar腳本 病毒名稱:TrojanDownloader.JS.IstBar 病毒中文名:IstBar腳本 病毒類型:木馬下載器 危險級別:★★ 影響平台:Win 9X/ME/NT/2000/XP/2003 描述:TrojanDownloader.JS.IstBar.t「IstBar腳本」變種t是一個用JavaScript語言編寫的木馬下載器。「IstBar腳本」變種t運行後,在用戶的計算機中強行安裝IstBar工具條,造成用戶系統變慢,自動彈出廣告,強行鎖定用戶的IE首頁等等。 2007年上半年,江民反病毒中心共截獲新病毒73972種,另據江民病毒預警中心監測的數據顯示,1至6月全國共有14081895台計算機感染了病毒,其中感染木馬病毒電腦9489649台,占病毒感染電腦總數的 67.38%,感染廣告程序電腦1859165台,占病毒感染電腦總數的13.20%,感染後門程序電腦928294台,占病毒感染電腦總數的6.59%,蠕蟲病毒782380台,占病毒感染電腦總數的5.55%,監測發現漏洞攻擊代碼感染359772台,占病毒感染電腦總數的2.55%,腳本病毒感42346台,占病毒感染電腦總數的0.30%。 二、病毒疫情區域特徵明顯 魯、蘇、粵居前三 據江民病毒預警中心提供的數據顯示,2007年病毒疫情比較嚴重的地區排前十位的分別是:山東、江蘇、廣東、北京、四川、河南、湖南、遼寧、上海和浙江。 歷來山東、江蘇、廣東都是病毒疫情比較嚴重的地區,在上半年的地區疫情排行榜中,這三個省市更是名列前三甲。其中,山東省以988354個染毒數量高居榜首。去年的冠軍廣東省退居第三位。 三、U盤成病毒傳播主要途徑 由於U盤本身不會防毒,病毒很容易就會感染U盤,而當U盤插入電腦時還會自動播放,病毒就會即刻被自動運行。加之U盤的廣泛應用也為病毒的傳播提供了溫床,由於眾多電腦用戶通過接入U盤進行電腦數據互換時,沒有先進行病毒掃描的習慣,病毒開始瞄準了這一空檔藏身其中,「U盤寄生蟲」病毒一出現就以高感染率常居病毒榜前三甲。 國內首例通過U盤傳播的病毒出現在2003年。當年8月3日,江民科技反病毒中心宣布成功截獲首例通過U盤傳播的「不公平」(Worm/Unfair)病毒。「不公平」病毒是某大學學生為了抗議在學校實習報名過程中遭到的不公正待遇而編寫,病毒運行後強行向A盤或U盤寫入病毒體,與讀寫軟盤發出聲響不同,病毒寫入U盤時悄無聲息,悄悄潛伏,危害更大。U盤病毒的進一步傳播從2006年上半年開始,由於其時U盤已經廣泛應用,大部分電腦用戶通過U盤進行數據互換,多數人在U盤插入電腦前沒有進行病毒掃描,造成了U盤病毒的蔓延。進入2007年,「熊貓燒香」等重大病毒紛紛把U盤作為主要傳播途徑,越來越多的電腦用戶因為不當使用U盤感染病毒,2007年U盤等移動存儲設備已經成為計算機病毒傳播的主要途徑之一。 四、「ARP」類病毒未來發展新趨勢 在區域網中, ARP協議對網路安全具有重要的意義,通過ARP協議來完成IP地址轉換為MAC地址。這種病毒可通過偽造IP地址和MAC地址實現ARP欺騙,用偽造源MAC地址發送ARP響應包,攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,就會造成網路中斷或中間人攻擊。 同時如果網頁帶毒,就會通過微軟的MS06-14和MS07-17兩個系統漏洞給電腦植入一個木馬下載器,而該木馬下載器會下載10多個惡性網遊木馬,可以盜取包括魔獸世界、傳奇世界、征途、夢幻西遊、邊鋒遊戲等在內的多款網路遊戲帳號及密碼,給網路遊戲玩家造成了極大的損失。 目前,「ARP」欺騙技術正在被越來越多的病毒所使用,成為區域網安全的新殺手。
原創文章,作者:VSKM,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/143625.html
微信掃一掃 
支付寶掃一掃 