什么是鼠标指针病毒
树树接到读者举报,说遭遇http://w.qbbd.com/0.htm 恶意网页。接到投诉后,树树对http://w.qbbd.com/0.htm进行了调查,它的主域名www.qbbd.com和二级域名均不能访问,而http://w.qbbd.com/0.htm页面内容显示空白(如图)。
树树在测试中发现,这个恶意页面居然躲过了多款杀毒软件的检测。可是,在查看源代码时,发现有一行代码为fuckie = http://d.qbbd.com/0.exe。
原来打开该页面后,浏览器会从此地址下载0.EXE恶意程序,这时主动防御软件报警,发现了名为Script.HttpDownloader.i的病毒。
由于该网页调用的恶意程序变种更新十分频繁,导致杀毒软件不能第一时间识别,这也是近期流氓网站的最新战术,和杀毒厂商开始比拼速度。
树树建议直接将此地址屏蔽,如有o.exe等不明程序出站访问,则予以拦截,然后进入安全模式全盘查杀。
其他流氓网站
www.henbang.net
恶意页面http://files.henbang.net/Ac
ed/550/601.htm
危害程度:★★★★
页面挂有利用ANI鼠标指针漏洞的病毒,恶意窜改浏览器,只要开启IE便自动弹出。WWW.ITcompUTEr.com.cN
解决办法:立即安装补丁号为KB925902的微软MS07-017补丁程序,进入安全模式用杀毒软件全盘扫描清除。
闪讯下载站
恶意页面:http://www.yayalao.com
危害程度:★★★★
该下载站是一个恶意下载站,站内所有软件均为流氓软件包,网民受骗下载运行后即被强行安装数十种流氓插件及木马病毒。
解决办法:尽量去正规下载站,软件下载后用杀毒软件扫描确认无毒后再运行。建议直接屏蔽此站。
www.yxgm78.com
恶意页面:http://www.yxgm78.com/
危害程度:★★
典型的纯恶意网页,空白的页面嵌有7种恶意代码,并在页面中安装了两套统计系统统计受害人数和来源。
解决方法:断网后清空系统所有临时文件,关闭系统还原。进入安全模式用反流氓工具清理后再用杀毒软件全盘查杀,注意禁用不明启动项加载。
什么是IEFO劫持 这两周恶性病毒AV终结者疯狂肆虐网络,出现当日就“宰杀”几十款国内外知名杀毒软件及防火墙,该病毒使用一种名为IFEO劫持的技术,导致众多杀毒软件无法运行的原因也在于此,普通网民或许会问究竟什么是IEFO劫持?
IEFO劫持也称为Windows文件映像劫持技术,在Windows注册表中有一项Image File Execution Options,主要用于调用对应程序,系统默认必须要有超级管理员级别用户才有权修改。
当此项被用户误改或发生故障时应用程序就会混乱,用户会发现运行的并不是自己指定的程序,例如双击IE后却跳出了Outlook的窗口,运行Word却打开了Excel,应用程序之间互相覆盖,这时就出现了映像劫持现象。通常这种情况很少发生,即使发生了多半也都是由于部分程序写入注册表时无意破坏了此项。
而AV终结者正是利用了这个少有人注意的地方,病毒侵入系统后首先窜改注册表中的Image File Execution Options项,查找系统中安装的安全类软件并在此替换为自身。
由此就出现了用户打开杀毒软件时丝毫没有反应或运行了其他程序,这时杀毒软件已经被病毒屏蔽重新定向了,系统此刻调用出来的正是病毒。于是有用户不停点击杀毒软件希望能启动,却不知这是在不停运行病毒文件,直到最后大量病毒同时运行系统资源耗尽。
可以说映像劫持技术为众多恶性病毒又提供了一条逃避追杀的方法,通常的反病毒技术都会先从系统启动项、系统服务等处拦截病毒开机自动运行。而一旦病毒利用IFEO技术劫持了杀毒软件致使开机后系统自动加载杀毒软件时却自动运行了病毒。
同时,映像劫持实施容易,只要在Image File Execution Options项下多加一行代码就能劫持对应程序,可以说稍懂注册表的人都能做到。这就让人不得不担心一些病毒制作者看到AV终结者大获成功后,纷纷将目标瞄准于此,导致映像劫持技术泛滥,类似的病毒将蜂拥而出,网络安全面临严峻威胁。因此当前要严密防范此技术的滥用,不可掉以轻心。
下周安全情况预警 高
病毒名称:AV终结者(Win32.Troj.Poseidon)
病毒类型:Win32病毒
危害程度:★★★★☆
中毒症状:鉴于AV终结者强大的破坏力且极有可能衍生变种,本周继续预警。终止并破坏大量杀毒软件运行,感染可移动存储设备,无法进入安全模式,下载其它病毒木马。在C:\Program Files\Common Files\Microsoft Shared\MSInfo\释放随机8位数字字母组成的.dll与同名.bat文件。
解决办法:下载最新专杀(http://zhuansha.duba.net/259.shtml),及时升级杀毒软件严密监控。
uac是什么
微软的Vista正式版刚刚推出,我就进行了安全测试,发现Vista系统虽然在安全性上有所提高,但是仍有一些漏洞被陆续发现出来。最近Vista系统的“用户账户控制”功能就被发现存在瑕疵。www.sq120.com推荐文章
前不久,我们预言过微软Vista系统可能出现的漏洞。就在这话音刚落不久,被微软寄予厚望的用户账户控制功能(UAC),被发现存在功能缺陷漏洞。黑客可以通过捆绑文件绕过用户账户控制功能的限制,让木马程序一帆风顺地进驻用户的系统。
UAC的实际作用
UAC的全称叫做User Account Control,即用户账户控制,它是Vista系统标志性的一项安全特征,可以防止用户对计算机进行未经授权的更改。UAC 的功能是要求用户在执行可能会影响计算机运行的操作,或执行更改影响其他用户的设置的操作之前,提供权限或管理员密码。
安装Vista系统的时候,会创建一个隶属于系统的Administrators管理员组的新用户,以前版本中,只要是隶属于Administrators管理员组的账户,就可以对该计算机系统进行任意的操控。但是到了Vista系统以后,这个组的账户只有正常使用系统的权限,即标准用户权限。
简单地说,我们运行Windows优化大师,UAC就会弹出窗口询问用户是否运行,因为Windows优化大师被UAC认为可能会影响本计算机其他用户的 Windows 功能,并且提示用户检查操作的名称以确保它正是自己要运行的功能或程序。
UAC被轻松穿透
配置一个木马的服务端程序,这里我们使用的是灰鸽子木马。运行文件捆绑器,将木马服务端程序和一个正式文件进行捆绑。运行捆绑工具“万能文件捆绑器”,点击“添加文件”按钮添加服务端和正式文件,最后点击“捆绑文件”按钮即可捆绑成功(图1)。
将捆绑的文件发送到目标用户处,当用户选择“以管理员身份运行”命令进行运行(图2)。这个时候UAC就会弹出一个窗口让用户选择是否运行,只要用户选择同意运行,木马服务端就会进驻Vista系统。
点击木马客户端中的“文件管理”命令,在远程磁盘中随便找一个程序,点击鼠标右键选择“远程打开→正常运行”,我们发现该程序已经绕过UAC的阻止,成功运行了(图3)。
通过前面的介绍我们可以看出,当用户确认安装或运行某款程序以后,UAC功能就会认为由该程序延伸出来的相关命令和操作会同时具有和该程序一样的权限。
比如刚刚同意执行捆绑文件后,木马服务端也得到同样的管理员权限。通过这种方法绕过UAC功能限制以后,黑客就可以在系统中为所欲为了。当然了,如果Vista中装有杀毒软件,黑客想要入侵成功,就需要对木马进行免杀处理了。