瀏覽模式: 普通 | 列表

新的病毒-myRunner病毒的症狀以及解決方案

作者:Terry[一隻耳] 日期:2005-04-28 23:19

来源:http://ziqi.512j.com/

中了myRunner病毒的症状

VC写的发送QQ尾巴和盗取信息的木马病毒
一旦感染,病毒将执行下列操作:
 复制到系统目录:
 "%SYSDIR%.exe"        ->该文件的文件名为一个空格
 "%SYSDIR%notepad.exe  ->该文件同样带有空格
  "%SYSDIR%rundll32.exe

  显示一个消息框,标题:“提示”,内容:
 “安装时检测到系统中某程序与本软件发生冲突,请先纠正该冲突,或选择另一台电
脑上安装!”

 病毒盗取QQ用户名、密码
病毒发送QQ信息给在线好友。内容一般为:

 好漂亮的动画哦,可以打开看看吧.exe
 一个对你目前工作很有帮助的好东东.exe
 你一定需要的工作资料(网上找到的).exe
 接啊,快接啊,推荐给你看看.exe
 QQTalk(QQ聊天秘籍,给你看看吧).exe
 网上电视(20个CCTV频道+36个省台+50个英文台,极力推荐).exe
 啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe
 笑死我了,你看过这个FLASH吗.exe
 今年过年不收礼,收礼只收白骨精(搞笑版广告).exe
 超级MM,超级FLASH,请你笑纳.exe
 腾讯QQ特殊使用技巧动画教程(对你一定很有用的).exe
 网上听收音机(调到第5个频道,我们边聊边听吧).exe
 在线收音机(我们一起听听第6个频道吧,来探讨这个话题).exe
 看看我的高清晰视频图像,比QQ自带的强10倍.exe
 你先看看我用静态照片制作成的MTV吧,我马上回来.exe

病毒运行后首先查找注册表中有无HKLMSoftwareClassesMSipvMainVer值,如果有则不进行对系统的感染,如果没有该值,则建立HKLMSoftwareClassesMSipv项,然后尝试从以下注册表启动项位置:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices
删除一些木马程序的启动项:
iexplore
IEXPLORE
mssysint
mspsint
mspbint
iexplore.exe
IEXPLORE .EXE
mssysint.exe
mspsint.exe
mspbint.exe
internat.exe
internat
同时尝试删除对应的木马程序文件。

病毒创建自身副本到系统目录下:
%System%.exe
%System%notepad.exe
%Windows%SystemRUNDLL32.EXE(如果是Windows 2000/XP
%Windows%System32RUNDLL32.EXE(如果是Windows 9x)

并修改EXE和TXT的文件关联:
HKLMSoftwareClassesexefileshellopencommand
EXE文件关联被修改为“ %1 %*”
HKLMSoftwareClassestxtfileshellopencommand
TXT文件关联被修改为“notepad %1”

注:其中“”不是单纯的一个空格,而是一个字符。病毒感染系统后也会显示如图(附件)对话框。
再注:病毒文件大小不固定,从文件内容来看好像是通过一些重复的信息来改变文件大小。

此外,病毒还会检查被感染系统是否安装QQ,如果安装有QQ病毒则通过注册表找到QQ.EXE所在路径,把正常的TIMPlatform.exe改名为TIMP1atform.exe,将病毒自身复制为TIMPlatform.exe。

最后在注册表建立病毒标记:
HKLMSoftwareClassesMSipvMainSetup
HKLMSoftwareClassesMSipvMainUp
HKLMSoftwareClassesMSipvMainVer
其中MainSetup和MainUp值相同,但不固定。

病毒的清除
由于病毒关联了EXE文件,我们建议这样处理:
首先打开注册表编辑器或用来恢复文件关联的工具(如RegFix),先不要关闭,然后通过任务管理器或ProceXP等进程管理工具结束病毒Rundll32.exe的进程,接下来恢复EXE和TXT文件关联,最后再找到病毒文件删除掉:
%System%.exe
%System%notepad.exe
%Windows%SystemRUNDLL32.EXE(如果是Windows 2000/XP
%Windows%System32RUNDLL32.EXE(如果是Windows 9x)
还有一步,到QQ安装目录下,把病毒生成的TIMPlatform.exe删除,然后把TIMP1atform.exe改名为TIMPlatform.exe即可。
注:推荐使用工具来恢复TXT文件关联。
類別: 安全 | 引用: 0 | 評論: 0 | 閱讀: 3385 | 列印

PHP驚現安全漏洞 易執行惡意代碼和DoS攻擊

作者:Terry[一隻耳] 日期:2005-04-22 22:55

來源:計世網    
    
        計世網消息  據《網絡世界》報道 據PHP組織說,運行PHP的服務器容易受到多種惡意程序攻擊,包括允許攻擊者執行惡意代碼和DoS攻擊

  PHP組織發佈了修復這些漏洞的升級版本,可以從PHP網站下載或直接從各操作系統廠商獲得。PHP組織強烈建議用戶升級到新版本。

  PHP是一個主要用於服務器端應用的開源編程語言,運行在Linux、Unix、Mac OS和Windows等服務器操作系統上。

  有兩個漏洞是在PHP的EXIF模塊發現的,這個模塊用於處理數碼相機所用的可交換圖像文件格式(EXIF)規範,該模塊的exif_process_IFD_TAG()函數中的一個漏洞有可能被特製的「圖像文件目錄(IFD)」標籤利用來造成緩衝區溢出和用PHP服務器權限執行惡意代碼

  第二個EXIF模塊漏洞有可能導致無窮遞歸,造成被執行的程序崩潰。

  另一個漏洞影響php_handle_iff()和php_handle_jpeg()函數,可以被特製的圖像利用來造成無限循環,消耗全部可用的CPU資源,形成DoS攻擊
類別: 安全 | 引用: 0 | 評論: 0 | 閱讀: 2443 | 列印

病毒警報:WORM_CHOD.B偽裝退信偷MSN密碼

作者:Terry[一隻耳] 日期:2005-04-16 00:58

來  源:賽迪網
近日,一封假裝微軟及兩大知名防毒廠商所發警告信的病毒,開始在網上流傳,該信以「Your computer may have been infected」(你的電腦中毒了)或「Warning - you have been infected!」(警告-你中毒了!)的標題,誘騙受害者點擊4種事先偽裝的附件,其中還有兩個看似NetSky解毒程序。

據安全廠商趨勢科技的監測表明,此郵件通常包含以下附件:netsky_removal.exe、removal_tool.exe、message.pif及message.scr,內含病毒WORM_CHOD.B。該病毒盜取MSN等IM(Instant Message,即時通信)軟件密碼、拆除防火牆、反間諜軟件各項系統安全警報系統,同時還會使用eMail和MSN廣泛散播。

以往多數病毒信都會佯稱「這封郵件已經通過XX防毒軟件病毒檢測」的信息,誘騙用戶點擊附件,但WORM_CHOD.B病毒此次卻採用了完全相反的作法,假裝寄出的信件因為含有病毒而遭退信,信件內容仿冒系統管理者的口吻敘述退信原因。該病毒會假冒發信來源為security@microsoft.com或securityresponse@symantec.com、security@trendmicro.com,一般使用者一不留意就會上當,因此執行病毒解毒程序前,最好與原廠商確認是否屬實。

同時,該病毒還會在MSN上發送包含10組不同信息與文件名稱的隨機組合,其中不乏「naked lesbian twister」性暗示文件名,及充滿催促的信息「haha you have to see this,I almost couldn't believe it! :O」。一旦使用者點擊,病毒將拆除系統的警報系統,之後還可遠程取得系統控制權,任由它關閉或重啟系統、下載檔案及竊取使用者機密資料。

attachments/1/1173459369.gif


圖:一旦執行WORM_CHOD.B病毒程序,會出現此項窗口訊息

WORM_CHOD.B的主要破壞行為有:

1.修改HOSTS檔案,讓受害者無法進入59個防毒與安全相關網站,其中包含微軟與反間諜軟件等安全組織;

2.關閉多項安全服務,包含防火牆、微軟反間諜軟件,避免被偵測;

3.植入後門,遠程執行惡意指令,包含發動DoS阻斷服務攻擊與信息竊取;

4.病毒含密碼猜測工具,可竊取9種涵蓋多種版本的IM軟件密碼,包含AOL Instant Messenger(先前版本)、AOL Instant Messenger/Netscape 7、GAIM、ICQ Lite 4.x/2003、Miranda、MSN Messenger、Trillian、Windows Messenger(on Windows XP)、Yahoo Messenger(Versions 5.x and 6.x)。

值得特別注意的是,WORM_CHOD.B是一種幾乎鎖定所有IM軟件密碼的病毒,通過目前傳送最快的兩項工具Mail和MSN進行繁衍並大肆蔓延,因此不僅是MSN用戶需要提防,ICQ、Yahoo Messenger、AIM等使用者都要謹防其變種。

類別: 安全 | 引用: 0 | 評論: 1 | 閱讀: 3435 | 列印

微軟2005年4月安全更新摘要

作者:Terry[一隻耳] 日期:2005-04-16 00:22

2005年4月12日微軟美國發佈了4月份的例行安全公告,微軟中國於4月13日則對針對該公告發佈了其中文版。微軟此次的安全更新主要涉及4個產品系列,其中包括Windows、Office、Exchange和MSN Messenger。

以下是按產品系列列出的安全更新摘要,如果您的計算機上安裝了本頁上列出的任何軟件,建議安裝相關更新。

Windows安全更新:包括對Microsoft Windows以及Windows組件IE瀏覽器的多項高優先級更新。

Windows Shell中的漏洞可能允許遠程執行代碼

最高嚴重等級:重要

受影響的支持軟件:

●Windows 2000 Service Pack 3 (SP3) 和 SP4

●Windows XP SP1 和 SP2

●Windows XP 64-Bit Edition SP1 (Itanium)

●Windows XP 64-Bit Edition 版本 2003 (Itanium)

●Windows Server 2003

●用於基於Itanium的系統的Microsoft Windows Server 2003

消息隊列中的漏洞可能允許執行代碼

最高嚴重等級:中等

受影響的支持軟件:

●Windows 2000 SP3 和 SP4

●Windows XP SP1

●Windows XP 64-Bit Edition SP1 (Itanium)

Windows內核中的漏洞可能允許特權提升和拒絕服務

最高嚴重等級:重要

受影響的支持軟件:

●Windows 2000 SP3 和 SP4

●Windows XP SP1 和 SP2

●Windows XP 64-Bit Edition SP1 (Itanium)

●Windows XP 64-Bit Edition 版本 2003 (Itanium)

●Windows Server 2003

●用於基於Itanium的系統的Microsoft Windows Server 2003

TCP/IP中的漏洞可能允許遠程執行代碼和拒絕服務

最高嚴重等級:嚴重

受影響的支持軟件:

●Windows 2000 SP3 和 SP4

●Windows XP SP1 和 SP2

●Windows XP 64-Bit Edition SP1 (Itanium)

●Windows XP 64-Bit Edition 版本 2003 (Itanium)

●Windows Server 2003

用於基於Itanium的64位系統的Microsoft Windows Server 2003

Internet Explorer的累積性安全更新

最高嚴重等級:嚴重

受影響的支持軟件:

●Windows 2000 SP3上的Internet Explorer 5.01 SP3

●Windows 2000 SP4上的Internet Explorer 5.01 SP4

●Windows Me上的Internet Explorer 5.5 SP2

●Windows 2000 SP3、Windows 2000 SP4或Windows XP SP1上的Internet Explorer 6 SP1

●Windows 98、Windows 98 SE或Microsoft Me上的Internet Explorer 6 SP1

●用於Windows XP SP1 (64-Bit Edition)的Internet Explorer 6

●用於Windows Server 2003的Internet Explorer 6

●用於Windows Server 2003 64-Bit Edition和Windows XP 64-Bit Edition版本2003的Internet Explorer 6

●用於Windows XP SP2的Internet Explorer 6

Office安全更新:包括對Microsoft Word的更新。

Microsoft Word中的漏洞可能導致遠程執行代碼

最高嚴重等級:嚴重

受影響的支持軟件:

●Word 2000 和 Works Suite 2001

●Word 2002、Works Suite 2002、Works Suite 2003 和 Works Suite 2004

●Word 2003

Exchange安全更新:包括對Microsoft Exchange Server的某些版本的重要更新。

Exchange Server中的漏洞可能允許遠程執行代碼

最高嚴重等級:嚴重

受影響的支持軟件:

●Exchange 2000 Server Service Pack 3 (SP3)

●Exchange Server 2003

●Exchange Server 2003 SP1

MSN Messenger安全更新:包括MSN Messenger 6.2版的一項更新。微軟強烈建議所有使用者升級到新發行的MSN Messenger 7.0版,因為其中的強化功能有助於保護使用者免受惡意攻擊。但其也會同時更新6.2版,使得希望先評估7.0版之後才進行安裝的6版使用者也能受到保護。

MSN Messenger中的漏洞可能會導致遠程代碼執行

最大嚴重程度:嚴重

受影響的軟件:

●MSN Messenger 6.2
類別: 安全 | 引用: 0 | 評論: 0 | 閱讀: 2863 | 列印

Mytob變種將瘋狂傳播 警告用戶加強安全防範

作者:Terry[一隻耳] 日期:2005-04-06 15:00

來源:計世網消息

計世網消息      三月份以來,網上出現的新病毒數量超出了12個,單單在上週一周的時間裡,就有8個新病毒爆發,而目前,大塊頭的郵件病毒Mytob的變種可能將瘋狂的傳播。

   日前,安全公司賽門鐵克報告了郵件病毒Mytob的兩個最新變種W32.Mytob.R 和 W32.Mytob.S,並將兩個新病毒的危險等級設定為了低危險或適中等級,儘管如此,賽門鐵克還是警告用戶升級他們的安全軟件程序,及時實施安全防範。

   與之前反覆出現的Mytob病毒及其變種相同,這兩個新變種也是經由電子郵件傳播,即所謂的後門傳播,針對的是微軟的Windows操作系統,該病毒變種利用其自身的SMTP發送端,收集到感染病毒機器裡的地址,進行肆意發送垃圾郵件,同時該病毒還會造成Windows系統的遠程緩衝區溢出漏洞。

   同時,這兩個Mytob病毒的最新變種還可能通過改寫被感染主機的hosts file,阻止這些計算機連接到賽門鐵克、McAfee以及微軟等反病毒公司的安全網站上進行安全升級。

   賽門鐵克公司對多個Mytob病毒最新變種實施了跟蹤調查,發現這些病毒來自不同的寄送者,而且電子郵件的主題以及正文都不盡相同。但在Mytob.R和Mytob.S潛伏的電子郵件裡,主題經常出現的兩個短語是「good day」(好天氣)和「mail transaction failed」(郵件傳輸失敗)。

類別: 安全 | 引用: 0 | 評論: 0 | 閱讀: 2496 | 列印

關於F2BLOG - 自由誌

F2BLOG 自由誌, 一班為興趣而開發的BLOG程式,
我們不是為了獲利, 也不收分毫, 只想給大家知道華人也有好的程序.
請尊重自己及尊重自由誌團隊,
如果您選用我們的程序請勿刪除F2BLOG版權訊息!