恶意网站如何攻击
读者 赵林海:各大论坛上到处都是关于161816.com的求救帖,看来感染人数不少啊。
读者 万定意:我的电脑已经被这个无比恶心的网站折磨一周了,毫无办法!
读者 顾昭:又是个窜改浏览器的恶意链接网站,赶快曝光它。
近期,我们注意到恶意链接网站又有所增加,与以往ANI、ARP等感染方式不同,不法分子采取了多种病毒混合攻击方法,使网民中招后很难彻底清除,例如www.161816.com就是这两周较为活跃的一个恶链网站。读者纷纷反映访问该站后感染所有网页文件,并自动添加其链接地址,CPU占用率长时间达到100%,系统运行速度下降严重等。
调查至该站Web.htm页面后,浏览器迟钝片刻,随后杀毒软件立即报警发现3个病毒。下载该页面查看源代码,此页分别从http://sdo.969111.com/web1.htm~web5.htm、http://www .161816.com/pps.htm做了远程病毒调用。
根据此线索追踪至http://sdo.969111.com/web1.htm后发现源代码已被做了加密,解码后终于显示出病毒源自http://www.15197.com/TestCSn.cab的病毒集装箱,为了隐藏真实地址竟然做了多重远程调用、代码加密,真是煞费苦心。
此番一举将这三个上演连环戏的恶意网站屏蔽,捕获到的TestCSn.cab病毒样本也已紧急转报至多家反病毒厂商,中招的读者请及时升级杀毒软件进入安全模式彻底清除。WwW.itcOmPUteR.cOM.cN
HOSTS反黑文件下载
最新版本:2007.11.05
文件大小:6KB
累计下载次数:20011(截至2007年10月29日)
全球唯一下载地址:http://www.cpcw.com/web/f/host.html
使用方法:解压后将HOSTS文件直接覆盖至C:\windows\system32\Drivers\Etc即可,为防止某些恶意网站或病毒窜改HOSTS,请确保此文件属性为“只读”。
新收录的恶意网站:
rb.vg www.77bbb.com
pop.yoyo59.com www.mympc.com.cn
www.wv00.cn www.161816.com
www.15197.com sdo.969111.com
count.16.vg www.2meinv.com
www.17173bt.com www.wansong.net
www.nmhgoi.cn www.jooee.net
恶意网站页面:
wv00.cn
投诉人数:1458
危害程度 ★★★
IP:61.152.244.74
定位:上海市电信
编辑分析:这家幻雪QQ资源网本周读者举报较多,经测试其多个页面嵌有脚本病毒,其中部分页面还携带木马下载器,企图下载盗号木马盗取用户QQ、网游账号,并频繁弹出广告窗口。
恶意网站页面:
rb.vg
投诉人数:1255
危害程度 ★★★
IP:66.186.35.172
定位:美国
编辑分析:近日突然爆发,利用驱动级编写技术频繁更新变种,已逃脱多款知名杀毒软件的检测。中招后系统加载时间变长、开机无法显示桌面,且具备ARP传播能力、窜改HOSTS文件、在所有网页代码中均嵌入“http://rb.vg/1.js”地址。为逃避打击,服务器放置境外,WHOIS信息显示注册人位于厦门。
找不到恶意进程的原因
很多朋友都遇到过自己感觉好像被植入了恶意程序,可在进程任务管理器中却找不到可疑进程的情况,这到底是怎么回事呢?其实这是黑客耍的小把戏,让恶意进程“透明”了。他们具体是怎么做的呢?下面我们用远程控制软件Radmin和进程隐藏程序BlueStarHide来演示进程是如何“透明”的。
进程为什么会从任务管理器中消失呢?Windows操作系统中有个进程链表,保存了当前系统运行的所有进程的信息。用黑客工具除去进程链表中的进程,就可以达到隐藏进程的目的,从而使进程在任务管理器中无法正常显示。
第一步 配置Radmin服务端
首先运行《Radmin生成器》(软件下载地址http://www.cpcw.com/bzsoft),在“安装文件名”选项中设置服务端程序的名称,也就是该服务端程序进程的名称。接着设置服务端程序的启动服务,用户可以按照自己的想法设置“安装服务名”、“服务显示名”、“服务描述”等选项。然后在“密码”和“端口”选项中设置用于服务端程序连接的端口和密码,端口号只能填写数字并且最多为5位,密码不要采用特殊字符。
最后点击“生成被控端”按钮,就会生成我们需要的Radmin服务端程序。在生成被控端的同时,生成器也同时生成了一个名为Clear.exe的文件,它是用来清除被控端的。
第二步 上传隐藏进程程序
现在将生成的服务端程序上传到远程系统并运行,接着运行Radmin的客户端程序,并点击工具栏中的“添加新连接”,然后在弹出的窗口设置远程服务端的IP地址和连接端口。
设置完成后,远程计算机系统将自动添加到控制窗口。点击鼠标右键中的“文件传输”命令,在弹出的窗口中将进程隐藏程序BlueStarHide(软件下载地址http://www.cpcw.com/bzsoft),通过拖曳的方式上传到远程计算机系统中。
第三步 执行进程隐藏操作
由于进程隐藏程序BlueStarHide不能在Windows环境中直接运行,而只能在命令提示符窗口操作。因此在Radmin的客户端中,点击鼠标右键中的“Telnet”命令,然后在弹出的Telnet窗口中用CD命令进入BlueStarHide所在的目录
。
BlueStarHide的使用方法非常的简单,只要执行:BlueStarHide Server.exe命令即可隐藏服务端进程Server.exe(进程名可以变)。然后打开任务管理器,在弹出窗口的进程标签中已经无法看到Server.exe了。
藏得再深也能揪出来
虽然通过系统的任务管理器不能进行查看,但是通过《冰刃》等内核级的安全工具,仍然可以轻松地检测到隐藏进程的存在。并且为了提醒用户的注意程度,《冰刃》还专门通过醒目的红色来对隐藏的进程进行标注(如图4)。当然并不是没有红色的进程就万事大吉,大家最好同时打开任务管理器和《冰刃》,通过对两个进程列表中的信息进行对比,这样可以更为稳妥地发现隐藏的进程信息。
ARP欺骗攻击的恶意网站如何禁止 读者 周波:上午同事无意间打开此站后,中午全公司的电脑都中毒了,病毒在网内乱窜毫无办法。
读者 郑斌:在该网站下载了一个小游戏,没想到运行后莫名其妙安装了一大堆恶意插件、病毒。现在打开任何网页都会事先连接这个6658588.cn下载最新病毒。
读者 李清:真希望杀毒软件和防火墙能增加有ARP攻击防御功能,每次都被ARP欺骗什么时候才是个头?
上周突然出现了一个名为www.6658588.cn的恶意网站,仅一周时间就已全面爆发,各大安全论坛布满了关于它的求救帖,我们也收到多达1647位读者的举报邮件。
在测试时我们发现,该站用403错误作为首页以掩人耳目,但根目录中的ad.jpg、0614.js二级目录中的123.htm嵌有恶意代码。分析样本后确认这是一个联合ANI光标蠕虫和ARP欺骗攻击的恶意网站。
病毒将局域网内所有网址请求先转发至指定的病毒页面上,再迅速跳转至真正要访问的网站,由此导致整个内网用户打开任何页面均报毒的情况。进一步查其域名、注册信息,显示该站于6月19日在万网注册。看来目的非常明确,专为施放恶意代码而建。鉴于危害的严重性,已将它的信息反馈给万网请求协助查封。
已受感染的用户可尝试以下方法清理:
1.在路由器(局域网用户)或IE受限制站点中屏蔽此站。
2.安装Windows系统补丁,特别是MS07-17。
3.使用“Anti Arp Sniffer”(http://www.cpcw.com/bzsoft/)等ARP防御软件查出网内攻击源。
4.断开中毒电脑的网络连接,进入安全模式用杀毒软件对它进行彻底查杀。