本文目录一览:
- 1、网站被反复挂Suspicious.ShellCode.Exploit木马
- 2、ThinkPHP开发框架曝安全漏洞,超过4.5万家中文网站受影响
- 3、急!急!急!急!急!网站被挂Suspicious.ShellCode.Exploit木马,怎样清除啊?请高手帮忙解决。。。
- 4、PHP绕过open_basedir限制操作文件的三种方法
- 5、有关病毒的问题
- 6、世界最强的十大电脑病毒是什么
网站被反复挂Suspicious.ShellCode.Exploit木马
首先直接删是治标不治本的,用不了几天还会被挂的
看源文件也是没有用的,可能写在你的其他包含文件里或者JS文件或者数据库里!下面讲被挂马后的一般查马和解决方法。
网页中被插入Js/iframe的可能性的途径:
虽然问题简单,但详细说起来从服务器、传输过程和客户端3个层次来分析。
1、就服务器而言存在的可能:
(1) 直接修改网页插入,现象是网页被改动了。
(2) 通过ISAPI Filter插入,现象是出现了陌生的ISAPI加载项。
(3) 通过IIS的脚注插入,现象是脚注设置被启用了。
(4) 通过网络TDI或NDIS插入,现象是出现了不知名的网络驱动类程序。
(5)“一句话木马”!这通常不被注意,但有一个功能可以把网站所有的首页和包含文件都自动加上代码的文件!
2、就传输过程存在的可能:
(1) 路由器被劫持,现象是只要通过某个路由器访问则出现代码,否则就没有。
(2) ARP欺骗,现象是arp表显然不正确。
3、就客户端存在的可能:
(1) 恶意程序或恶意插件,现象是其他机器访问网站就没有被插入代码。
被挂马后查找步骤:
1.先看看上传目录下面有没有可疑的ASP文件
2.然后再根据文件修改时间看看最近修改的文件哪些可疑
3.把上面搞清楚,应该就可以找到根源了。
服务器安全配置(WIN吧,其它的我也不是很了解):
几个关键ASP组件漏的问题。
① 删除或更名以下危险的ASP组件:
WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、adodb.stream、Shell.application
开始-------运行---------Regedit,打开注册表编辑器,按Ctrl+F查找,依次输入以上 Wscript.Shell等组件名称以及相应的ClassID,
然后进行删除或者更改名称(这里建议大家更名,如果有部分网页ASP程序利用了上面的组 件的话呢,
只需在将写ASP代码的时候用我们更改后的组件名称即可正常使用。
当然如果你确信你的ASP程序中没有用到以上组件,还是直接删除心中踏实一些 ^_^,
按常规一般来说是不会做到以上这些组件的。删除或更名后,iisreset重启IIS后即可升效。)
[注意:由于Adodb.Stream这个组件有很多网页中将用到,所以如果你的服务器是开虚拟主机的话,建议酢情处理。]
② 关于 File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常说的FSO的安全问题,如果您的服务器必需要用到 FSO的话,(部分虚拟主机服务器一般需开FSO功能)
可以参照本人的另一篇关于FSO安全解决办法的文章:Microsoft Windows 2000 Server FSO
安全隐患解决办法。如果您确信不要用到的话,可以直接反注册此组件即可。
③ 直接反注册、卸载这些危险组件的方法:(实用于不想用①及②类此类烦琐的方法)
卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%\system32\WSHom.Ocx
卸载FSO对象,在cmd下或直接运行:regsvr32.exe /u %windir%\system32\scrrun.dll
卸载stream对象,在cmd下或直接运行: regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件例如:regsvr32.exe %windir%\system32\scrrun.dll
卸载这些危险组件的方法:(实用于不想用①及②类此类烦琐的方法)
卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%\system32\WSHom.Ocx
卸载FSO对象,在cmd下或直接运行:regsvr32.exe /u %windir%\system32\scrrun.dll
卸载stream对象,在cmd下或直接运行: regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"
如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件例如:regsvr32.exe %windir%\system32\scrrun.dll
防止海洋木马列出WIN服务器的用户和进程
禁用服务里面倒数第二个 workstation 服务,可以防止列出用户和服务
c:\
administrators 全部
system 全部
iis_wpg 只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限
c:\inetpub\mailroot
administrators 全部
system 全部
service 全部
c:\inetpub\ftproot
everyone 只读和运行
c:\windows
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
IIS_WPG 读取和运行,列出文件夹目录,读取
Users 读取和运行(此权限最后调整完成后可以取消)
C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取
C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取
C:\WINDOWS\Microsoft.Net\temporary ASP.NET Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 全部
c:\Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限
c:\windows\temp
Administrator 全部权限
System全部权限
users 全部权限
c:\Program Files\Common Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
c:\Program Files\Dimac(如果有这个目录)
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部
c:\Program Files\ComPlus Applications (如果有)
administrators 全部
c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
Everyone 读取和运行,列出文件夹目录,读取
c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部
c:\Program Files\WindowsUpdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
c:\Program Files\Microsoft SQL(如果SQL安装在这个目录)
administrators 全部
Service 全部
system 全部
d:\ (如果用户网站内容放置在这个分区中)
administrators 全部权限
d:\FreeHost (如果此目录用来放置用户网站内容)
administrators 全部权限
SERVICE 读取与运行
从安全角度,我们建议WebEasyMail(WinWebMail)安装在独立的盘中,例如E:
E:\(如果webeasymail安装在这个盘中)
administrators 全部权限
system 全部权限
IUSR_*,默认的Internet来宾帐户(或专用的运行用户)
读取与运行
E:\WebEasyMail (如果webeasymail安装在这个目录中)
administrators 全部
system 全部权限
SERVICE全部
IUSR_*,默认的Internet来宾帐户 (或专用的运行用户)
全部权限
C:\php\uploadtemp
C:\php\sessiondata
everyone
全部
C:\php\
administrators 全部
system 全部权限
SERVICE全部
Users 只读和运行
c:\windows\php.ini
administrators 全部
system 全部权限
SERVICE全部
Users 只读和运行
修改该Clsid的值而禁用该组件,如将注册表中HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID的值0D43FE01-F093-11CF-8940-00A0C9054228改成0D43FE01-F093-11CF-8940-00A0C9054229(改了最后面一位),这时候的写法为:
CF-8940-00A0C9054229"
1.启用Windows自带防火墙,并开放80 21 3306 52013 端口.(想开什么端口自己加)
2.删除以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1
regsvr32 /u wshom.ocx回车、regsvr32 /u wshext.dll回车
3.删除没有必要的储存过程
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
4.禁用Workstation服务,防止ASP木马列出用户.
5.关闭默认共享防止LAN内IPC入侵。可以用批处理来实现.如下:
echo off
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
保存为bat放到C:\Documents and Settings\All Users\「开始」菜单\程序\启动 即可
6.定时重启IIS服务及SQL服务.释放资源.可以用计划任务来实现.怎么弄自己想去。
7.设置终端登陆权限,只允许授权用户登陆.开始-程序-管理工具-终端服务配置-RDP-属性-权限
Administrator
chadmin
system
完全控制,不过尽管这样还是有一定的不安全,克隆个帐户就得了.建议限制IP登陆.尽管这样还是不安全滴,人家可以映射终端端口.最好的就是把服务器搞得上没得网.用IP安全策略可以做到.
8.Serv-U改一下本地管理密码,防止本地溢出.设置一下FTP域安全性,选择允许SSL/TLS和规则会话.
ThinkPHP开发框架曝安全漏洞,超过4.5万家中文网站受影响
据外媒ZDNet报道,近期有超过4.5万家中文网站被发现容易遭到来自黑客的攻击,而导致这一安全风险出现的根源仅仅是因为一个ThinkPHP漏洞。
报道称,有多家网络安全公司在近期都发现了针对运行着基于ThinkPHP的Web应用程序的服务器的扫描活动。ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,支持Windows/Unix/Linux等服务器环境,以及MySql、PgSQL、Sqlite多种数据库和PDO插件,在国内 Web 开发领域非常受欢迎。
另外,所有这些扫描活动都是在网络安全公司VulnSpy将一个ThinkPHP漏洞的概念验证代码(PoC)发布到ExploitDB网站上之后开始进行的。这里需要说明的是,ExploitDB是一家提供免费托管漏洞利用代码的热门网站。
VulnSpy公司发布的概念验证代码利用了一个存在于ThinkPHP开发框架invokeFunction 函数中的漏洞,以在底层服务器上执行任意代码。值得注意的是,这个漏洞可以被远程利用,且允许攻击者获得对服务器的完全控制权限。
“PoC是在12月11日发布的,我们在不到24小时之后就看到了相关的互联网扫描。” 网络安全公司Bad Packets LLC的联合创始人Troy Mursch告诉ZDNet。
随后,其他四家安全公司——F5 Labs、GreyNoise、NewSky Security和Trend Micro也报道了类似的扫描。并且,这些扫描在接下来的几天里一直呈上升趋势。
与此同时,开始利用这个ThinkPHP 漏洞来开展攻击活动的黑客组织也在不断增加。到目前为止,被确认的黑客组织至少包括:最初利用该漏洞的攻击者、一个被安全专家命名为“D3c3mb3r”的黑客组织、以及另一个利用该漏洞传播Miori IoT恶意软件的黑客组织。
由Trend Micro检测到的最后一组数据还表明,旨在传播Miori IoT恶意软件的黑客组织似乎想要利用该漏洞来入侵家用路由器和物联网设备的控制面板,因为Miori无法在实际的Linux服务器上正常运行。
此外,从NewSky Security检测到另一组扫描来看,攻击者试图在运行着基于ThinkPHP的Web应用程序的服务器上运行Microsoft Powershell命令。NewSky Security的首席安全研究员Ankit Anubhav告诉ZDNet,“这些Powershell命令看上去有些多余。实际上,攻击者拥有的一些代码完全可以用来检查操作系统的类型,并为不同的Linux服务器运行不同的漏洞利用代码,运行Powershell命令可能只是为了碰碰运气。”
事实上,最大规模扫描的发起者应该是上述被被安全专家命名为“D3c3mb3r”的黑客组织。但这个组织并没有做任何特别的事情。他们没有使用加密货币矿工或其他任何恶意软件来感染服务器。他们只是扫描易受攻击的服务器,然后运行一个基本的“echo hello d3c3mb3r”命令。
Ankit Anubhav告诉ZDNet:“我不确定他们的动机。”
根据Shodan搜索引擎的统计,目前有超过45800台运行着基于ThinkPHP的Web应用程序的服务器可在线访问。其中,有超过40000台托管在中国IP地址上。这主要是由于ThinkPHP的文档仅提供了中文版本,因此不太可能在国外被使用。这也是解释了为什么被认为易遭到攻击的网站大部分都是中文网站。
安全专家认为,随着越来越多的黑客组织了解到这种入侵 Web 服务器的方法,对中文网站的攻击也必然会有所增加。
此外,F5 Labs已经公布了有关这个ThinkPHP 漏洞的技术分析和POC的工作原理,大家可以通过点击这里进行查看。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
急!急!急!急!急!网站被挂Suspicious.ShellCode.Exploit木马,怎样清除啊?请高手帮忙解决。。。
Suspicious.ShellCode.Exploit是通过特定的网页,以代码漏洞溢出方式(ShellCode.Exploit),执行windows explorer.exe 从而达到特定目的(木马 提权等)
由于没有提供相关日志,所以我只能泛泛的说一下:
首先,可以肯定的是 你们网站被入侵过,注意后门以及账号的变化情况(包括克隆)。
然后,查找出挂马页面,直接删除或者从网页代码里删除。
最后,从新扫描一下,并打好补丁,监听重要端口,保护好日志(防火墙 iss 杀毒软件等等)
PHP绕过open_basedir限制操作文件的三种方法
由于open_basedir的设置对system等命令执行函数是无效的,所以我们可以使用命令执行函数来访问限制目录。
我们首先创建一个目录
且在该目录下新建一个1.txt 内容为abc
再在该目录下创建一个目录命名为b
并且在该目录下创建一个1.php文件内容为
且在php.ini中设置好我们的open_basedir
我们尝试执行1.php看看open_basedir是否会限制我们的访问
执行效果如图
很明显我们无法直接读取open_basedir所规定以外的目录文件。
接下来我们用system函数尝试绕open_basedir的限制来删除1.txt
编辑1.php为
先来看看执行1.php之前的文件情况
执行1.php之后
我们先来了解一下symlink函数
symlink函数将建立一个指向target的名为link的符号链接,当然一般情况下这个target是受限于open_basedir的。
由于早期的symlink不支持windows,我的测试环境就放在Linux下了。
测试的PHP版本是5.3.0,其他的版本大家自测吧。
在Linux环境下我们可以通过symlink完成一些逻辑上的绕过导致可以跨目录操作文件。
我们首先在/var/www/html/1.php中 编辑1.php的内容为
接着在/var/www/中新建一个1.txt文件内容为
再来设置一下我们的open_basedir
在html目录下编辑一个php脚本检验一下open_basedir
执行看下。
意料之中,文件无法访问。
我们执行刚才写好的脚本,1.php
此时tmplink还是一个符号链接文件,它指向的路径是c/d,因此exploit指向的路径就变成了
由于这个路径在open_basedir的范围之内所以exploit成功建立了。
之后我们删除tmplink符号链接文件再新建一个同名为tmplink的文件夹,这时exploit所指向的路径为
由于这时候tmplink变成了一个真实存在的文件夹所以tmplink/../../变成了1.txt所在的目录即/var/www/
然后再通过访问符号链接文件exploit即可直接读取到1.txt的文件内容
当然,针对symlink()只需要将它放入disable_function即可解决问题,所以我们需要寻求更多的方法。
glob是php自5.3.0版本起开始生效的一个用来筛选目录的伪协议,由于它在筛选目录时是不受open_basedir的制约的,所以我们可以利用它来绕过限制,我们新建一个目录在/var/www/下命名为test
并且在/var/www/html/下新建t.php内容为
执行结果如图:
成功躲过open_basedir的限制读取到了文件。
有关病毒的问题
2007年十大病毒档案,当前流行病毒多为他们的变种。
一、U盘寄生虫
病毒名称:Virus.Autorun.gr
中 文 名:"U盘寄生虫"变种gr
病毒长度:22096字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Virus.Autorun “U盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。“U
盘寄生虫”是针对autorun.inf这样的自动播放文件的蠕虫病毒。 autorun.inf文件
一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备
的时候,该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件,而
该文件就会立即执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受
损失。
专杀下载:
二、ARP病毒
病毒名称:“ARP”类病毒
病毒中文名:“ARP”类病毒
病毒类型:木马
危险级别:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般
属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的
时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还
要严重得多。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP
通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。用
伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。当局域网内某台主机运
行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必
须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切
换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器
,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样
病毒主机就可以盗号了。
专杀下载:
三、网游大盗
病毒名称:Trojan/PSW.GamePass.jws
中 文 名:“网游大盗”变种jws
病毒长度:13739字节
病毒类型:木马
危害等级:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.GamePass.jws“网游大盗”变种jws是“网游大盗”木马家族最新变
种之一,采用Visual C++编写,并经过加壳处理。“网游大盗”变种jws运行后,会
将自我复制到Windows目录下,自我注册为“Windows_Down”系统服务,实现开机自
启。该病毒会盗取包括“传奇世界”、“魔兽世界”、“完美世界”、“征途”、“
武林外传”等多款网游玩家的帐户和密码,并且会下载其它病毒到本地运行。玩家计
算机一旦中毒,就可能导致游戏帐号、装备等丢失,给玩家带来损失。
专杀下载:
四、MSN性感相册
病毒名称:Worm/MSN.SendPhoto.a
中 文 名:性感相册
病毒类型:蠕虫
危害等级:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
病毒运行特征:
该病毒运行时,会通过MSN即时聊天工具向MSN上的好友发送大小为479382 字节
的photos.zip 病毒包,该压缩包里面包含名为photos album-2007-5-26.scr病毒文
件,同时会随机向好友发送一些带有诱惑性的信息,如:“看看我的性感相片”,“
圣诞节快乐”等。
专杀下载:
l
五、ANI病毒
病毒名称:Exploit.ANIfile
病毒中文名:ANI病毒
病毒类型:蠕虫
危险级别:★★
影响平台:Windows 2000/XP/2003/Vista
描述:以Exploit.ANIfile.b为例,“ANI毒”变种b是一个利用微软Windows系统
ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫。“ANI毒”变种b运行后,自我复
制到系统目录下。修改注册表,实现开机自启动。感染正常的可执行文件和本地网页
文件,并下载大量木马程序。感染本地磁盘和网络共享目录下的多种类型的网页文件
(包括*.HTML,*.ASPX,*.HTM,*.PHP,*.JSP,*.ASP),植入利用ANI文件处理漏
洞的恶意代码。自我复制到各逻辑盘根目录下,并创建autorun.inf自动播放配置文
件。双击盘符即可激活病毒,造成再次感染。修改hosts 文件,屏蔽多个网址,这些
网址大多是以前用来传播其它病毒的站点。另外,“ANI毒”变种b还可以利用自带的
SMTP引擎通过电子邮件进行传播。
专杀下载:
六、机器狗病毒
病毒名称:Trojan/Agent.pgz
中 文 名:机器狗
病毒类型:木马
危害等级:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
病毒运行特征:
“机器狗”病毒主要在网吧等使用系统还原软件以及硬盘还原卡的环境下发作。
病毒运行后,会在%WinDir%\System32 \drivers 目录下释放出一个名为pcihdd.sys
的驱动程序,该文件会接管冰点或者硬盘保护卡对硬盘的读写操作,这样该病毒就破
解了还原系统的保护,使冰点、硬盘保护卡实效。接着,该病毒会利用 MS06-014和
MS07-017系统漏洞和等多个应用软件漏洞,从***.com/ 、
***.biz/ 、***.com/ 等恶意网址下载多款网游木马,
盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码,严重威胁游戏玩家数
字财产的安全。正因为还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒
发作的重灾区。
专杀下载:
七、代理木马
病毒名称:Trojan/Agent
病毒中文名:代理木马
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
描述:盗取用户机密信息,下载恶意程序。
“代理木马”及其变种是一个盗取用户计算机上机密信息的木马程序。“代理木
马”变种cfd运行后,自我复制到Windows目录下。修改注册表,实现开机自启。侦听
黑客指令,盗取用户计算机上的机密信息,并将机密信息发送到黑客指定的邮箱里。
“代理木马”会从网上下载大量的恶意程序,通过系统漏洞感染目标电脑,中毒电脑
可能会成为黑客操纵的“肉鸡”,严重威胁电脑中的数据安全。
专杀下载:
八、AV杀手
病毒名称:Trojan/KillAV.ak
中 文 名:“AV杀手”变种ak
病毒长度:19293字节
病毒类型:木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/KillAV.ak“AV杀手”变种ak是“AV杀手”木马家族的最新成员之一,采
用Delphi语言编写,并经过加壳处理。 “AV杀手”变种ak运行后,自我修改文件属
性为“隐藏”。强行篡改注册表相关键值,致使文件夹选项中的“显示隐藏文件”功
能失效。利用Windows映像劫持技术(IFEO),修改注册表,致使许多与安全相关的
软件无法启动运行。在被感染计算机的后台调用系统“spoolsv.exe”进程,将恶意
代码注入其中并调用运行,隐藏自我,防止被查杀。在后台连接骇客指定远程服务器
站点,下载恶意程序并在被感染计算机上自动调用运行。在所有盘根目录下生成
“autorun.inf”文件(磁盘映像劫持文件)和病毒体文件,实现用户一双击盘符就
启动“AV杀手”变种ak运行的功能。
专杀下载:
九、Real脚本病毒
病毒名称:Exploit.JS.Real
中文名:Real脚本病毒
病毒长度:可变
类型:网页脚本
危害等级:★★★
影响平台: Windows98/2000/2003/xp
描述:Real脚本病毒是利用RealPlayer播放器ActiveX控件安全漏洞的恶意网页
脚本,常用于自动下载执行木马程序。病毒隐藏在Real格式的视频文件中,用户一旦
下载点击运行便会立刻中毒,许多热衷于网上下载视频文件的电脑用户因此中毒。
专杀下载:
十、熊猫烧香
病毒名称:Worm.WhBoy.h
中文名:“熊猫烧香”
病毒长度:可变
病毒类型:蠕虫
危害等级:★★★★
影响平台:Win9X/ME/NT/2000/XP/2003
以Worm.WhBoy.h为例,熊猫烧香是一个由Delphi工具编写的蠕虫病毒,能够终止
大量的反病毒软件和防火墙软件进程,病毒会删除扩展名为gho的文件,使用户无法
使用ghost软件恢复操作系统。“熊猫烧香”感染系统的*.exe、*.com、*.pif、
*.src、*.html、*.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会
自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和
setup.exe.病毒还可以通过U盘和移动硬盘等方式进行传播,并且利用 Windows系统
的自动播放功能来运行。
“熊猫烧香”还可以修改注册表启动项,以使自身随操作系统同步运行。搜索硬
盘中的*.EXE可执行文件并感染文件,被感染的文件图标变成“熊猫烧香”的图案。
病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。
专杀下载:
补充:
这些流行病毒,如果不是最新变种各大杀毒软件都可以防护,所以最最管用的就是保
持杀毒软件病毒库最新,不推荐手动查杀。另外如果你不能不够你完成任务建议你补
充下面的内容
你google一下 最新病毒及清除 然后补充到上面应该就完美了。
欢迎访问我的空间
世界最强的十大电脑病毒是什么
一、ANI病毒 病毒名称:Exploit.ANIfile 病毒中文名:ANI病毒 病毒类型:蠕虫 危险级别:★★ 影响平台:Windows 2000/XP/2003/Vista 描述: 以Exploit.ANIfile.b为例,“ANI毒”变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫。“ANI毒”变种b运行后,自我复制到系统目录下。修改注册表,实现开机自启动。感染正常的可执行文件和本地网页文件,并下载大量木马程序。感染本地磁盘和网络共享目录下的多种类型的网页文件(包括*.HTML,*.ASPX,*.HTM,*.PHP,*.JSP,*.ASP),植入利用ANI文件处理漏洞的恶意代码。自我复制到各逻辑盘根目录下,并创建autorun.inf自动播放配置文件。双击盘符即可激活病毒,造成再次感染。修改hosts文件,屏蔽多个网址,这些网址大多是以前用来传播其它病毒的站点。另外,“ANI毒”变种b还可以利用自带的SMTP引擎通过电子邮件进行传播。 二、U盘寄生虫 病毒名称:Checker/Autorun 病毒中文名:U盘寄生虫 病毒类型:蠕虫 危险级别:★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 描述:Checker/Autorun“U盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。“U盘寄生虫”是针对autorun.inf这样的自动播放文件的蠕虫病毒。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件,而该文件就会立即执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。 三、熊猫烧香 病毒名称:Worm/Viking 病毒中文名:熊猫烧香 病毒类型:蠕虫 危险级别:★★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 描述:以Worm/Viking.qo.Html“威金”变种qo(熊猫烧香脚本病毒)为例,该病毒是由“熊猫烧香”蠕虫病毒感染之后的带毒网页,该网页会被“熊猫烧香”蠕虫病毒注入一个iframe框架,框架内包含恶意网址引用 ,这样,当用户打开该网页之后,如果IE浏览器没有打上补丁,IE就会自动下载并且执行恶意网址中的病毒体,此时用户电脑就会成为一个新的病毒传播源,进而感染局域网中的其他用户计算机。 四、“ARP”类病毒 病毒名称:“ARP”类病毒 病毒中文名:“ARP”类病毒 病毒类型:木马 危险级别:★★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 描述:通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。 用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻击。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。 五、代理木马 病毒名称:Trojan/Agent 病毒中文名:代理木马 病毒类型:广告程序 危险级别:★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 描述:以“代理木马”变种crd为例, Trojan/Agent.crd是一个盗取用户机密信息的木马程序。“代理木马”变种crd运行后,自我复制到系统目录下,文件名随机生成。修改注册表,实现开机自启。从指定站点下载其它木马,侦听黑客指令,盗取用户机密信息。 六、网游大盗 病毒名称:Trojan/PSW.GamePass 病毒中文名:网游大盗 病毒类型:木马 危险级别:★ 影响平台:Win 9X/ME/NT/2000/XP/2003 描述:以Trojan/PSW.GamePass.hvs为例,“网游大盗”变种hvs是一个木马程序,专门盗取网络游戏玩家的帐号、密码、装备等。 七、鞋匠 病毒名称:Adware/Clicker 病毒中文名:鞋匠 病毒类型:广告程序 危险级别:★ 影响平台:Win 9X/ME/NT/2000/XP/2003 描述:以Adware/Clicker.je为例,“鞋匠”变种je是一个广告程序,可弹出大量广告信息,并在被感染计算机上下载其它病毒。“鞋匠”变种je运行后,在Windows目录下创建病毒文件。修改注册表,实现开机自启。自我注册为服务,服务的名称随机生成。侦听黑客指令,连接指定站点,弹出大量广告条幅,用户一旦点击带毒广告,立即在用户计算机上安装其它病毒。 八、广告泡泡 病毒名称:Adware/Boran 病毒中文名:广告泡泡 病毒类型:广告程序 危险级别:★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 描述:以 Adware/Boran.e为例,“广告泡泡”变种e是一个广告程序,采用RootKit等底层技术编写,一旦安装,很难卸载彻底。该程序会在C:\Program Files\MMSAssist下释放出病毒文件。在后台定时弹出广告窗口,占用系统资源,干扰用户操作。 九、埃德罗 病毒名称:TrojanDownloader 病毒中文名:埃德罗 病毒类型:广告程序 危险级别:★ 影响平台:Win 2000/XP/2003 描述: Adware/Adload.ad“埃德罗”变种ad是一个广告程序,在被感染计算机上强制安装广告。 十、IstBar脚本 病毒名称:TrojanDownloader.JS.IstBar 病毒中文名:IstBar脚本 病毒类型:木马下载器 危险级别:★★ 影响平台:Win 9X/ME/NT/2000/XP/2003 描述:TrojanDownloader.JS.IstBar.t“IstBar脚本”变种t是一个用JavaScript语言编写的木马下载器。“IstBar脚本”变种t运行后,在用户的计算机中强行安装IstBar工具条,造成用户系统变慢,自动弹出广告,强行锁定用户的IE首页等等。 2007年上半年,江民反病毒中心共截获新病毒73972种,另据江民病毒预警中心监测的数据显示,1至6月全国共有14081895台计算机感染了病毒,其中感染木马病毒电脑9489649台,占病毒感染电脑总数的 67.38%,感染广告程序电脑1859165台,占病毒感染电脑总数的13.20%,感染后门程序电脑928294台,占病毒感染电脑总数的6.59%,蠕虫病毒782380台,占病毒感染电脑总数的5.55%,监测发现漏洞攻击代码感染359772台,占病毒感染电脑总数的2.55%,脚本病毒感42346台,占病毒感染电脑总数的0.30%。 二、病毒疫情区域特征明显 鲁、苏、粤居前三 据江民病毒预警中心提供的数据显示,2007年病毒疫情比较严重的地区排前十位的分别是:山东、江苏、广东、北京、四川、河南、湖南、辽宁、上海和浙江。 历来山东、江苏、广东都是病毒疫情比较严重的地区,在上半年的地区疫情排行榜中,这三个省市更是名列前三甲。其中,山东省以988354个染毒数量高居榜首。去年的冠军广东省退居第三位。 三、U盘成病毒传播主要途径 由于U盘本身不会防毒,病毒很容易就会感染U盘,而当U盘插入电脑时还会自动播放,病毒就会即刻被自动运行。加之U盘的广泛应用也为病毒的传播提供了温床,由于众多电脑用户通过接入U盘进行电脑数据互换时,没有先进行病毒扫描的习惯,病毒开始瞄准了这一空档藏身其中,“U盘寄生虫”病毒一出现就以高感染率常居病毒榜前三甲。 国内首例通过U盘传播的病毒出现在2003年。当年8月3日,江民科技反病毒中心宣布成功截获首例通过U盘传播的“不公平”(Worm/Unfair)病毒。“不公平”病毒是某大学学生为了抗议在学校实习报名过程中遭到的不公正待遇而编写,病毒运行后强行向A盘或U盘写入病毒体,与读写软盘发出声响不同,病毒写入U盘时悄无声息,悄悄潜伏,危害更大。U盘病毒的进一步传播从2006年上半年开始,由于其时U盘已经广泛应用,大部分电脑用户通过U盘进行数据互换,多数人在U盘插入电脑前没有进行病毒扫描,造成了U盘病毒的蔓延。进入2007年,“熊猫烧香”等重大病毒纷纷把U盘作为主要传播途径,越来越多的电脑用户因为不当使用U盘感染病毒,2007年U盘等移动存储设备已经成为计算机病毒传播的主要途径之一。 四、“ARP”类病毒未来发展新趋势 在局域网中, ARP协议对网络安全具有重要的意义,通过ARP协议来完成IP地址转换为MAC地址。这种病毒可通过伪造IP地址和MAC地址实现ARP欺骗,用伪造源MAC地址发送ARP响应包,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,就会造成网络中断或中间人攻击。 同时如果网页带毒,就会通过微软的MS06-14和MS07-17两个系统漏洞给电脑植入一个木马下载器,而该木马下载器会下载10多个恶性网游木马,可以盗取包括魔兽世界、传奇世界、征途、梦幻西游、边锋游戏等在内的多款网络游戏帐号及密码,给网络游戏玩家造成了极大的损失。 目前,“ARP”欺骗技术正在被越来越多的病毒所使用,成为局域网安全的新杀手。
