• 2007年01月02日

    熊猫烧香变种 spoclsv.exe 解决方案

    熊猫烧香病毒专杀工具的相关下载

    下载:瑞星(电信)
    下载:瑞星(仅限e家宽)
    下载:瑞星(网通)
    下载:金山(电信)
    下载:金山(仅限e家宽)
    下载:金山(网通)
    下载:江民(电信)
    下载:江民(仅限e家宽)
    下载:江民(网通)

    http://download.rising.com.cn/zsgj/NimayaKiller.scr

    清除步骤
    ==========

    1. 断开网络

    2. 结束病毒进程
    %System%\drivers\spoclsv.exe

    3. 删除病毒文件:
    %System%\drivers\spoclsv.exe

    4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
    X:\setup.exe
    X:\autorun.inf

    5. 删除病毒创建的启动项:

    [Copy to clipboard]CODE:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "svcshare"="%System%\drivers\spoclsv.exe"

    6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:

    [Copy to clipboard]CODE:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000001

    7. 修复或重新安装反病毒软件

    8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件

    对于如何查杀Spoclsv.exe的方法,在这里不讲太多了网上能够找出来的多的是。关键就是在查杀了Spoclsv.exe病毒以后,如何对感染了的EXE文件修复问题。在此,就是讲一下如何对感染了病毒的EXE文件进行修复的问题。

    网上的最直接的杀毒方法就是把该文件在系统中删除,然后在注册表等位置中删除,最后就是把感染了的EXE文件给删除。这种方法的代价实在太大了,一个区区用Borland Delphi 6.0 - 7.0语言编写的病毒能有这样的威力吗?答案是否定的,但是给我们造成带来麻烦是肯定的(感染的EXE文件我暂时还不知道有什么软件可以自动修复)。但是看到网上就有一个手动修复感染EXE文件的方法,就是用UE打开,然后。。。这种方法可能是可以的,但是未必谁都可以做得到,而且比较麻烦(现在做什么事都在讲效益吗^_^)遇到上百个感染了病毒的文件的话,就光修复就要搞很久。

    其实有最直接的办法,就是直接双击这些感染了病毒的EXE文件,然后刷新,这样吸附在这些感染了病毒的EXE文件上的病毒就恶意代码就消失了。但是还有一个最最重要的问题,就是在在双击了一个感染了病毒的EXE文件后,系统又会自动生成一个恶意病毒的进程(Spoclsv.exe),那刚刚修复的系统盘中的方法预示着要重新做一次了。难道就是没有办法修复吗?那当然不是了,我在这里的建议就是感染了此类病毒的人,最好的办法就是马上把系统重装一次,然后装上一个叫PowerShadow的软件,进入其单一影子模式。然后再打开其他盘(当然不要双击进去啦),双击感染了病毒的EXE文件,然后刷新。这个EXE文件中的病毒就消失了,预示着这个EXE文件就此修复了。但是这个病毒又会在系统中生成一个Spoclsv.exe的进程,从而再不断感染系统中的文件。这个时候,你会发现打开任务栏管理器把这个进程进行关闭的时候,任务栏管理器一打开就马上就关闭了,打开什么进程杀手之类的都不行,这个时候就要利用到Dos了(我觉得Dos是最厉害的武器)。在命令行中输入taskkill,就可以清楚地看到Spoclsv这个进程的存在,我们就输入tskill Spoclsv那这个进程就给关闭了,如此的反复直到把感染了病毒的EXE文件修复。在这里我们可以把这些命令做成一个批处理文件,那又方便很多了。

    打开一个记事本在里面输入tskill spoclsv,然后保存为名字任意的(。bat)文件就可以了,每运行一个感染的EXE文件之后,就双击一次这个批处理文件。其实我有更加自动的方法,这里就不公开了。要的跟我联系吧^_^

    最后把这个感染的EXE文件全部双击之后,到除了系统盘之外的每个盘中的根目录下,把那个setup.exe文件给删除和还有一大概叫Desktop.ini的文件给删除就可以了。还有这个Desktop.ini文件在每个文件夹中都有一个,用搜索功能把其搜索出来给删除,那个大功告成了。最后不要忘记了把系统重新启动一次,把写入了系统盘的所有病毒给全部自动去除。

    到此,所有的修复感染EXE文件的病毒的方法就全部结束了。在写这篇日志之前很幸运,连续中了两次这个病毒,全部都是在借了部电脑给别人上网用之后感染的。最最令我气愤的是这个病毒把我硬盘中的*.gho文件给删除了,所以就写出这个日志出来分享一下。让中了这个病毒的人不用把所以的EXE全部给删除这么痛苦。

    熊猫烧香假慈悲 exe文件遭恶意篡改

    近日,一名为“熊猫烧香”(Worm.WhBoy.h)的蠕虫病毒正在利用互联网进行疯狂作案,被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。“熊猫烧香”蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。

    “今天早晨一打开电脑,我就晕了,进入系统后,许多应用程序无法使用,重装软件后,不久又不能使用,更奇怪的是发现电脑中所有的.exe可执行文件全部变成小熊猫举着三根香的模样,而且系统运行异常缓慢,非常郁闷。”用户张先生气愤地说。

    近段时间,“熊猫烧香”(Worm.WhBoy.h) 蠕虫正处于急速变种期,仅11月份至今,变种数量已达10几个,变种速度之快,影响范围之广,与06年横行于局域网的“维金”不相上下。

    12月27日,我国知名计算机反病毒厂商江民科技发布紧急病毒警报,一伪装成“熊猫烧香”图案的病毒正在疯狂作案,已有数十家企业局域网遭受重创。来自我国不同地区的企业向江民反病毒中心举报,他们公司正在遭受不明病毒攻击,电脑中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为“熊猫烧香”,中毒症状表现为系统蓝屏、频繁重启、硬盘数据被破坏等等,严重的整个公司局域网内所有电脑全部中毒,公司业务几乎陷入停顿。广东、上海等地区也出现了类似病毒疫情,江民大客户技术服务部电话响个不停。迹象表明,“熊猫烧香”病毒有集中爆发可能。

    江民反病毒工程师分析,该病毒为“威金”蠕虫病毒新变种,自从去年被截获以来,已经感染了超过30万台电脑,几乎每天都有新变种出现。该病毒可以通过局域网传播,病毒发作严重时可导致局域网瘫痪。而值得关注的是,感染该病毒的多数是没有安装网络版杀毒软件的小型企业用户。

    小企业局域网成重灾区

    苏州经济园区的某企业高女士说,他们公司是一家金属制品的中小型公司,这两天公司的网络服务器突然出现频繁重启现象,经检查后发现,电脑中出现了五个不明文件,所有可执行文案都被改成一个奇怪的熊猫烧香图案,由于服务器故障,导致整个局域网全部瘫痪。北京某工程公司也出现了类似现象,更糟糕的是他们公司遭受病毒攻击的是财务部,整个财务部8台电脑频频出现蓝屏、死机现象,电脑中同样出现了“熊猫烧香”的图案,公司对外财务结算完全停顿,总经理为此大为光火。

    资料显示,我国目前有小企业1000万家以上,而近年来盛行的SOHO型家庭式创业型小公司更是不计其数,这些企业由于处于创业初期,往往在网络安全方面没有设防,多数企业仅靠安装一套单机版杀毒软件来防范病毒,由于单机版杀毒软件无法对威金此类通过局域网传播的病毒进行统一防杀,最终导致局域网内病毒屡杀不绝,病毒在通过网络在电脑间来回流窜,许多小企业局域网甚至长期“养”着一种以上的网络病毒。

    江民反病毒工程师介绍,在他们接到的求助企业中,多数企业由于感染病毒导致业务不能正常开展,少则一两小时,多则一两天无法正常工作,产生的直接和间接损失远远超过购买一套网络版杀毒软件的价格。

    单机版及病毒专杀无法杀尽局域网病毒

    据调查,超过70%的中小企业并不愿意选购网络版级的杀毒软件,而更倾向于单机版杀毒软件,而其中价格无疑是阻碍小企业应用网络版的最大障碍。网络版杀毒软件由于长期应用在高端企业市场,在普通用户心目中属于一种“奢侈”的产品,以拥有25台电脑的小企业局域网计算,国内主流的相同配置的网络版杀毒软件价格在10000到17000元之间,面对高高在上的价格,那些为了创业省吃俭用的SOHO一族需要下多大的决心才能购买!而更多的小企业主则在遭到病毒攻击时,被动地购买一套单机版杀毒软件应急。

    尽管单机版杀毒软件甚至免费的专杀工具也能杀掉病毒,但在互联互通的局域里,这些杀毒软件和专杀工具却往往顾此失彼,通常是这台机器病毒杀掉了,却又感染给了另一台机器,来回反复,让网管员疲于应付。如果仅仅是几台电脑还可能用断开网线的方式逐台杀毒,而如果是数十台上百台电脑,对于网管员的来讲无疑是一场噩梦。

    江民反病毒专家介绍,由于单机版并不具备网络版杀毒软件的统一杀毒、统一监控、统一设置、统一升级、远程控制等功能,因此在对付局域网病毒上存在先天缺陷,对付通过局域网传播的网络病毒,只能利用网络版杀毒软件进行全网统一查杀。

     
    档案编号:CISRT2006081
    病毒名称:Worm.Win32.Delf.bf(Kaspersky)
    病毒别名:Worm.Nimaya.d(瑞星)
          Win32.Trojan.QQRobber.nw.22835(毒霸)
    病毒大小:22,886 字节
    加壳方式:UPack
    样本MD5:9749216a37d57cf4b2e528c027252062
    样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
    发现时间:2006.11
    更新时间:2006.11
    关联病毒:
    传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播

    技术分析
    ==========

    又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
    %System%\drivers\spoclsv.exe

    创建启动项:

    [Copy to clipboard]CODE:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "svcshare"="%System%\drivers\spoclsv.exe"

    修改注册表信息干扰“显示所有文件和文件夹”设置:

    [Copy to clipboard]CODE:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000000

    在各分区根目录生成副本:
    X:\setup.exe
    X:\autorun.inf

    autorun.inf内容:

    [Copy to clipboard]CODE:
    [AutoRun]
    OPEN=setup.exe
    shellexecute=setup.exe
    shell\Auto\command=setup.exe

    尝试关闭下列窗口:
    QQKav
    QQAV
    VirusScan
    Symantec AntiVirus
    Duba
    Windows
    esteem procs
    System Safety Monitor
    Wrapped gift Killer
    Winsock Expert
    msctls_statusbar32
    pjf(ustc)
    IceSword

    结束一些对头的进程:
    Mcshield.exe
    VsTskMgr.exe
    naPrdMgr.exe
    UpdaterUI.exe
    TBMon.exe
    scan32.exe
    Ravmond.exe
    CCenter.exe
    RavTask.exe
    Rav.exe
    Ravmon.exe
    RavmonD.exe
    RavStub.exe
    KVXP.kxp
    KvMonXP.kxp
    KVCenter.kxp
    KVSrvXP.exe
    KRegEx.exe
    UIHost.exe
    TrojDie.kxp
    FrogAgent.exe
    Logo1_.exe
    Logo_1.exe
    Rundl132.exe

    禁用一系列服务:
    Schedule
    sharedaccess
    RsCCenter
    RsRavMon
    RsCCenter
    RsRavMon
    KVWSC
    KVSrvXP
    kavsvc
    AVP
    McAfeeFramework
    McShield
    McTaskManager
    navapsvc
    wscsvc
    KPfwSvc
    SNDSrvc
    ccProxy
    ccEvtMgr
    ccSetMgr
    SPBBCSvc
    Symantec Core LC
    NPFMntor
    MskService
    FireSvc

    删除若干安全软件启动项信息:
    RavTask
    KvMonXP
    kav
    KAVPersonal50
    McAfeeUpdaterUI
    Network Associates Error Reporting Service
    ShStatEXE
    YLive.exe
    yassistse

    使用net share命令删除管理共享:

    [Copy to clipboard]CODE:
    net share X$ /del /y
    net share admin$ /del /y
    net share IPC$ /del /y

    遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
    X:\WINDOWS
    X:\Winnt
    X:\System Volume Information
    X:\Recycled
    %ProgramFiles%\Windows NT
    %ProgramFiles%\WindowsUpdate
    %ProgramFiles%\Windows Media Player
    %ProgramFiles%\Outlook Express
    %ProgramFiles%\Internet Explorer
    %ProgramFiles%\NetMeeting
    %ProgramFiles%\Common Files
    %ProgramFiles%\ComPlus Applications
    %ProgramFiles%\Messenger
    %ProgramFiles%\InstallShield Installation Information
    %ProgramFiles%\MSN
    %ProgramFiles%\Microsoft Frontpage
    %ProgramFiles%\Movie Maker
    %ProgramFiles%\MSN Gamin Zone

    将自身捆绑在被感染文件前端,并在尾部添加标记信息:

    .WhBoy{原文件名}.exe.{原文件大小}.

    与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

    另外还发现病毒会覆盖少量exe,删除.gho文件。

    病毒还尝试使用弱密码访问局域网内其它计算机:
    password
    harley
    golf
    pussy
    mustang
    shadow
    fish
    qwerty
    baseball
    letmein
    ccc
    admin
    abc
    pass
    passwd
    database
    abcd
    abc123
    sybase
    123qwe
    server
    computer
    super
    123asd
    ihavenopass
    godblessyou
    enable
    alpha
    1234qwer
    123abc
    aaa
    patrick
    pat
    administrator
    root
    sex
    god
    foobar
    secret
    test
    test123
    temp
    temp123
    win
    asdf
    pwd
    qwer
    yxcv
    zxcv
    home
    xxx
    owner
    login
    Login
    love
    mypc
    mypc123
    admin123
    mypass
    mypass123
    Administrator
    Guest
    admin
    Root

    Tag:熊猫烧香 解决 病毒 杀毒 专杀
    chapi 发表于18时05分40秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2007年01月02日

    总结:数据恶意加密的解密流程

    此类操作有一定的危险性,所有后果本人概不负责

    数据被恶意加密的事件是越来越多,其中以欧阳俊曦这个恶意加密软件最为恶劣.虽然加密手段的不断更新,但是依然低劣.
    虽然我针对恶意加密写了好几个帖子,但是比较散,尚未构成完整的流程.所以今天我针对最新的恶意加密方式以最简洁的语言来叙述整个解密流程.

    首先还是在在F:\下载 文件夹下建立一个text.txt文件用于举例说明
    然后用高强度文件加密大师 8000VII进行加密(黑客用的软件和这个类似)

    第一步:找回文件/文件夹
    下载 FinalData(数据恢复) v2.01.1028 绿色特别版
    下面我们运行 DinalData:




    然后 文件-》打开-》选择加密文件所在盘 (我这里是在F盘下)然后点确定:

    查看更多精彩图片

    如果时间太长我们就少等几分钟我们就可以点取消 (其实让它搜索完最好):

    查看更多精彩图片
    大家看到了没有,在根目录和已删除目录 下面我们都看到了 下载 这个文件夹(里面有两个?其实在我做演示之前自己进行研究了一次,这次演示是第二次,所以会看到两个,如果你是第一次的话,看到的应该在根目录 和 已删除目录 下各一个的)。

      点 下载 目录,是不是看到了 TEST.TXT的文件?好了,右键点 恢复,选择D盘(不要恢复到F盘哦):
    查看更多精彩图片


    然后点,保存,来到D盘看看是不是有了TEST.TXT?

    看到了图片了吧,数据出来了
    查看更多精彩图片



    这里我需要补充的是某些恶意加密软件是把所有文件都隐藏在文件夹中,你只用找到文件夹复制到别的盘即可.(比如欧阳俊曦的)
    绝大部分的解密从第一步即可恢复数据(前提是你的数据完全正常了),你只用做本贴的最后一步扫尾/防范即可 但是绝大部分的受害者没有这么好的运气.比如被欧阳俊曦搞的必须走完所有步骤

    第二步 显示文件
    随着恶意加密数据被破解.黑客对这个加密软件做了进一步的升级.我们依然可以通过finaldata 来找回数据.但是 在找回的那个文件夹中我们发现了这么一个现象
    打开文件夹 看不到文件,但是文件却依然在文件夹里面.
    通过文件夹的属性我们可以看到文件夹里面的文件是存在的.
    为什么会这样呢

    在新的恶意加密过程中黑客修改了这么一些注册表文件导致文件被恶意隐藏.
    不过手段依然低劣.
    在正常情况下
    注册表键值为
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden" = 1
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "HideFileExt" = 0
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "SuperHidden" = 0
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "ShowSuperHidden" = 1
    但是黑客把这些注册表键值改为

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden" = 2
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "HideFileExt" = 1
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "SuperHidden" = 1
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "ShowSuperHidden" = 0
    -------------------------------------------------
    怎么办?
    很简单 在开始----运行里面输入regedit 回车
    找到
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    分别把上述键值改作正常值即可
    -------------------------------------------------
    考虑到某些用户非常不熟悉注册表操作
    我制作了注册表修复补丁
    保存下面内容为reg 后缀的文件 双击导入即可完成最后的显示.

    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden"=dword:00000001
    "HideFileExt"=dword:00000000
    "SuperHidden"=dword:00000000
    "ShowSuperHidden"=dword:00000001

    完成这一步以后,文件你已经可以看到并打开了
    但是很不爽的是这些文件都是隐藏属性,并且无法修改.
    好,我们进行第三步

    第三步 彻底恢复文件
    把文件夹复制一份到非系统盘的根目录比如D盘重命名为1111
    单击开始菜单--------------- 选择左面的运行----------输入cmd 回车
    看到黑色的方框了吧
    输入下面这条命令(注意空格)
    attrib -s -h /s /d d:\1111
    d:\1111根据你的文件名和所在盘来确定
    比如E盘的 2222文件夹  那么就是e:\2222
    这样的话可以取消了文件夹的隐藏属性但是很可能文件的隐藏属性还是存在的

    那么没关系

    我们运行下面这一个命令
    attrib -s -h /s /d d:\1111\*.*
    回车
    当然d:\1111 还是根据你的文件夹所在具体路径来确定

    好了 这样 就彻底取消了隐藏文件  

    这样解密就算彻底完成了


    第四步: 善后-----堵死黑客入侵的大门

    1 黑客之所以能够把数据加密前提是你已经被入侵,数据不可能无缘无故被加密!

    2 因此在还原数据以后一定要断网查杀病毒(包括扫描日志分析-hijackthis/sreng),否则对方完全可以在你恢复数据以后,通过事先植入远程控制软件/后门等  再次入侵.同时完全可以以逻辑锁的形式锁住硬盘或者植入病毒彻底破坏你的数据(这类黑客心理大都有问题,完全有可能这么做.)

    3 在 被加密的情况下千万不要做清空回收站的动作,因为一部分情况下所谓的"加密"就是把文件隐藏在回收站的被删除文件里.(通过final data可以看到)

    4  一旦数据被加密,必须立即按照我写的帖子进行恢复性操作,不要耽误时间.根据经验,在回收站的被删除文件并不能够长期保存.不要相信黑客说的什么强磁场破坏数据的鬼话,黑客留下的信息除了帐号是真实的,其余都是骗人的.

    5 在清除后门以后必须做好防护工作,杀毒软件和防火墙都不可以缺少.

    6 养成良好的习惯,不上小网站/黄色网站,不下载和使用非官方途径获得的软件.尽量不使用或少使用P2P类下载工具.

    7 定期升级防火墙和杀毒软件,并经常性全盘杀毒.

    8 遇到这类事情请去警方登记,便于警方的立案.


    补充:
    黑客入侵的几种方式
    1 网页/各类下载软件中捆绑灰鸽子等后门,控制机子 进而加密
    2 直接把加密软件 放在网页/各类下载软件中 自行加密 如 欧阳俊曦
    3 入侵单机进而加密(很少见)
    4 单位同事等 恶意加密. (很少见)

    Tag:数据恢复 恶意 加密 解密 敲诈
    chapi 发表于17时47分41秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2007年01月02日

    感染传播型木马以及U盘木马注意事项

    特别奉献 mofile-系统软件 目录 流行病毒专杀 u盘病毒专杀工具 V2.0 build 2006.12.28.rar

    2006.12.27作出如下更新:
    不再对软盘进行检测(一般是A盘)
    新增pagefile.pif的查杀
    2006.12.27 添加pagefile.pif        worm.diskgen.b的查杀
    2006.12.25 添加Sysnote.exe        Trojan.Sysnote.a
            Explorer.exe        Trojan.PSW.SBoy.a
            system.exe
    2006.12.23 添加WinMgct.exe,UExecute.exe Worm.Micogo.a的查杀
             autorun.exe       Trojan.Agent.xkt的查杀
    2006.12.21 添加ghost.exe,conime.exe Trojan.DL.Agent.blr
    2006.12.16 添加Iexplores.exe Backdoor.Tompai.k的查杀
    2006.12.15 添加readme.exe Win32.Troj.PcRob.ft.77312的查杀
    2006.12.14 添加ie.exe    Trojan.Agent.xty的查杀
    2006.12.13 添加desktop.exe  Trojan.VB.vta
            desktop2.exe  Trojan.VB.vtb
    2006.12.12 添加sal.xls.exe Trojan.VB.vvu的查杀
    2006.12.11   bittorrent.exe Worm.Snake.a的查杀
            RavMon.exe   Trojan.Agent.ync的查杀
            RavMonE.exe   Worm.Snake.a的查杀
            reper.exe    Worm.Repka.y的查杀
            rose.exe    Worm.VB.hy的查杀
            tel.xls.exe   Worm.Suser.a的查杀
            LaunchCd.exe,chkdk.exe Trojan.VB.vwp的查杀

    因为U盘也是近期的感染传播型木马传播途径之一.因此本文把U盘木马也归入本文讲解的范围. 本文涉及的感染传播型木马 不仅仅是指威金(worm.viking)或尼姆亚(worm.nimaya)包括了近期其他感染传播型木马
    本文分做单机用户和局域网用户两部分来叙述
    单机/局域网用户存在的共同的传播途径以及防范对策

    一 U盘/移动硬盘
    先说U盘/移动硬盘的防范原则.
    1 如果你的U盘内的资料需要拷贝到其他的机子内,为了避免你的U盘被感染 请利用那个U盘的写保护. 一般U盘的侧面都有一个滑动开关.把它拨到锁定的位置就可以了(此点移动硬盘不适用)
    2 如果你的U盘/移动硬盘需要到其他的机子拷贝资料.请首先在对方的机子的硬盘盘符上单击右键 看看有没有自动播放,如果没有则相对是安全的.如果有说明对方的机子是感染了U盘病毒需要将对方机子的病毒清理后(清理步骤见下文) 再插入U盘/移动硬盘进行数据拷贝.
    3 如果是公司内部局域网尽可能采用公司内部FTP 以及QQ RTX等即时通讯工具进行文件交换
    4 对于不明来源的或者经过他人使用U盘/移动硬盘 建议在特定的安全的机子中(比如淘汰的机器)中进行检查后,确认无毒 再予以使用(确认方式见下文清理部分)

    U盘病毒的清理方式
    在前文中说的自动播放实际上是因为驱动器的根目录下有一个文件名为autorun.inf这个文件在作怪.
    因此清理步骤为
    1 文件夹选项显示所有文件后,驱动器图标上 鼠标右键 选择打开 看到autorun.inf 用记事本打开找到他的EXE/PIF的文件名.记下记下该文件名
    2 关闭记事本 删除autorun.inf 以及你记下的那个文件即可
    3 除非有人特意为之 否则驱动器的根目录下不应该有autorun开头的各种文件 确认后可作病毒删除
    4 有些病毒屏蔽了显示所有文件你可以在注册表中改回来  或者用RAR软件去打开隐藏的文件进行操作

    二 网页木马也是感染型木马的流入途径
    网页上各种形式的挂马 无不利用了微软的几个高危漏洞.因此无论什么机子 只要你是windows系统 不管你用什么办法 都要把补丁全部打上.不过这里我提醒大家 慎用 市面上的补丁集合.

    三 文件捆绑的形式
    如果你需要下载文件 尽量选择官方网站进行下载.下载完 记得杀毒.

    下面谈谈分别单机和局域网中的传播以及防范和清理办法
    感染型木马 以威金为例均具备自动传播能力,这也是杀毒软件厂商将其定义为worm(蠕虫)的原因.
    很多人把防范这类蠕虫的传播的希望寄托在杀毒软件上面是一个很大的误区.对于蠕虫的防范应该使用具有特征过滤组件的的防火墙进行拦截.因为对于病毒的免杀是太容易了.但是改变一个病毒的行为却是很困难的事情,一旦改变行为意味着产生了新的不同种类的病毒.
    根据这样的原理我们可以作出以下防御

    局域网用户:
    1 构建局域网中的单人掩体--------个人版防火墙在局域网中的应用
    很多企业的网管 都认为在网关上加载一台硬件防火墙就OK了.其实这样的做法给感染传播型木马的传播带来很大的方便.况且不说硬件防火墙的性能如何, 只要有员工把感染了上述木马的U盘往局域网中的随便一台机子上一插.如果局域网中其余的机子没有良好的防护那么整个局域网会在极短的时间里面沦陷.因此局域网中的机子必须要有独立的防护体系
    有人可能问投入资金的问题:人的智慧是无穷的 自己想想 怎么解决.

    2 快速隔离已感染的机子: 一般而言蠕虫的大面积爆发可以通过流量看出来.企业的网管应该迅速切断 感染区域的机子与其他机子的联系,如果等全面沦陷 工作量会更大

    3 杀毒软件的实时监控还是必要的

    个人用户
    除了补丁/防火墙/杀毒软件以外 还要养成良好的安全习惯.尽量不要登陆不明网站

    对于已经感染了 威金/熊猫等感染传播型病毒的用户
    可以下载专杀进行查杀(各大厂商都有提供也有民间的专杀比如农夫的威金杀虫剂等).也可以用杀毒软件进行查杀,但是这里需要强调的一点是 一定要选择清除病毒而不能选择删除病毒.因为这类病毒是感染和破坏EXE等文件因此我们的目的是修复被破坏的文件.而删除病毒是删除整个EXE 而不是对其进行修复.

    对于尚未能查杀的病毒 可提取相应的文件 上报  等待升级

    感染量小 而且有一定动手能力的用户 可以用 UE或者 hex 对被破坏的exe文件进行手工修复.

    Tag:木马 U盘 病毒 杀毒
    chapi 发表于17时31分10秒 | 阅读全文 | 评论 0 | 编辑 | 分享

  • 2007年01月02日

    慎用PowerShadow(影子系统)

    此贴转自杭州市志愿者论坛 http://bbs.hzva.org
    原文地址:http://bbs.hzva.org/viewthread.php?tid=32236&fpage=1


    本文仅做技术讨论,本文所产生的后果本人概不负责
    在论坛上经常碰到有人使用PowerShadow 也遇到很多的受害者.今天我抽出时间专门就PowerShadow这个软件做简要的说明,以正视听

    PowerShadow作为一款还原类的软件,在国内的互联网很火,不少人认为我的系统装了PowerShadow是万事大吉,百毒不侵,互联网中也这么宣传.实际上这种说法是完全错误的.

    装了PowerShadow真的是安全了吗?答案显然是否定的

    一 盗号木马面前PowerShadow束手无策
    我们知道互联网中有一种广泛使用的木马叫盗号木马(所有人都该知道的).盗号木马严格意义上说是一次性的木马,为什么呢? 盗号木马以盗走你的特定的帐号密码为目的.一旦植入系统盗走你的帐号和密码后 木马完成了使命.你再去清理他,木马清理后 损失已经造成了,无法挽回了. 然而你在PowerShadow 的保护下中了此类木马,因为影子是虚拟的系统而不是具有保护功能的防火墙,当你重启系统后,木马消失了同时帐号和密码已经在黑客的手中了. PowerShadow不但没有保护作用反而替黑客做了销毁证据的工作.


    二 再坚固的保护依旧得敞开
    大家经常会安装各式各样的软件,在PowerShadow的保护下安装是无法安装的,我们必须在正常的模式下安装软件,如果这时候安装包中捆绑了木马.你依旧会中木马,再启动PowerShadow的保护,除非你发现了否则这个木马会一直陪伴你.

    三 先入为主
    很多人喜欢在做完系统后 装上所有应该装的软件后 再 装PowerShadow 予以保护以求安全,如果你的应用软件不干净,结果会和第二点一样.

    四 系统崩溃
    PowerShadow 和其他还原类软件一样,依旧存在系统崩溃的问题.有过崩溃经验的PowerShadow用户应该有过 开机后发现找不到**文件而不得已全部重装的经历.其实原因很简单 PowerShadow还原出错,就会导致系统无法启动和文件目录丢失,而且PowerShadow改写了分区信息和引导程序数据,很容易造成系统崩溃.

    五 无法彻底卸载
    如果通过简单的卸载程序进行卸载是无法卸载PowerShadow的.大家在卸载完PowerShadow以后 用sreng软件 看一下驱动程序 会发现 snpshot.sys依旧在 running(运行)看图 用SREng在安全模式下删除或改动这个文件后,系统即崩溃,不能启动也不能进入安全模式.为啥呢?很简单这个文件的启动方式是boot start 你在安全模式下删 肯定会出问题的.然而PowerShadow卸载并没有还原修改的主引导.系统崩溃并不奇怪了.

    有人问那咋卸载呢.有这么几种方式.
    其中能彻底卸载影子的是低格和换硬盘….
    低格就是debug,一般硬盘厂商有debug工具 下载后按照提示做.但是低格是很伤硬盘的.
    除了上述两种办法, 可以尝试用系统安装盘光驱引导 后 进入安装界面删除所有的分区再建立新的分区 然后开始漫长的系统重装……

    其次有全盘ghost的用户可以尝试 ghost还原 但是根据反馈的效果 依旧有部分残留.

    对于仅仅格式化系统盘的用户 根据反馈的信息看 是无法彻底卸载的.

    附 受害者的帖子(11楼本文的图片就来源于此)
    http://bbs.hzva.org/viewthread.p ... ;page=2&fpage=1
    本文到此就结束了,希望网友能够在以后的上网过程中注意明辨是非.对于网络上的所谓菜鸟高手以及不切实际的宣传要提高警惕避免被误导.尤其要注意国内  就有那么一帮 "菜鸟高手" 在 不懂 软件原理的情况下看了点英文的简介 就开始想当然了,什么  不死  永久   不用杀软 /防火墙的 词语  就出来了. 直接结果 就是导致  成千上万的人受害.
    Tag:PowerShadow 影子系统 提醒
    chapi 发表于16时20分50秒 | 阅读全文 | 评论 0 | 编辑 | 分享
共57页 第一页 上一页 48 49 50 51 52 53 54 55 56 57

Lessons by English, baby!

随时随地看wap