“最熟悉的”陌生木马,灰鸽子又来了……
“多么熟悉的名字,肆虐多少年风和雨,从来不需要想起,永远也不会忘记”。当记者听到微点反病毒专家介绍的一种新型病毒传播手段的时候,不禁想起了这熟悉的旋律——灰鸽子,这熟悉而又陌生的木马,“从来不需要想起,永远也不会忘记”。
(图1)CHM文件内容
据微点反病毒专家介绍,这例“Backdoor.Win32.GreyPigeon.ipa”灰鸽子木马变种的传播方式着实耐人寻味。黑客“煞费苦心”将木马程序植入一个CHM(一种帮助文件格式)文件(图1),从CHM页面上的几行文字我们不难分析出,这是一种基于“社会工程学”的钓鱼攻击手法(图1)。黑客首先诱惑广大网民,某某电影或视频存于某加密压缩文件内,密码则位于该CHM文件内。这样网友下载加密压缩视频之后,自然会去打开CHM文件查找密码。所谓的“钓鱼攻击”,就是指黑客诱使网民上钩,和传统意义上的病毒自行传播有着本质的区别。这里面有一个细节很有意思,黑客为了确保最终显示效果,特意将繁体“解壓密碼”四个字用图片来显示,以防止因内码不同繁体字显示为乱码。从这个细节可以看到,木马“市场营销”黑阅读全文>
发表于 @ 2008年03月03日 16:15:00|评论(loading...)|收藏
病毒传播惊现新模式黑客借力打力病毒威力激增
备选:警惕“网页挂马”新形态 病毒“借力”第三方悄然肆虐网络
“网页挂马”新形态初现 可致木马传播数量激增
近年来,网页挂马已经成为木马传播的主要途径之一,黑客往往会在入侵网站后利用这种方式将木马“种植”到浏览该网站的用户计算机上并执行,以达到盗取用户财物和控制用户计算机的目的。日前,微点反病毒专家却发现一种更为新颖的网页挂马方法,通过向“第三方”网站间接挂马,实现了病毒传播速度、数量的倍速增长,对广大网民的危害极大。微点反病毒专家经过技术分析发现,与以往不同的是近期这批被挂马的网站,其共同特征为被挂马的地址完全相同。经核查,这批被挂马网站均使用了国内某知名“统计网站”编写的用于收集统计用户浏览网页数据信息的代码。黑客正是利用了该知名统计网站进行挂马,从而使得所有使用了该统计代码的网站全部都被间接挂马。如果用户浏览了这些被间接挂马的网站,木马即被下载到用户电脑中,而下载的木马被激活后,将注入系统关键进程中,并自动下载多种盗号木马程序同时完成自身木马程序的在线更新,释放autorun.inf利用Windows自动播阅读全文>
发表于 @ 2008年01月14日 16:33:00|评论(loading...)|收藏
元旦假期更应睁大慧眼 U盘病毒惊现真假回收站
圣诞刚过,元旦转瞬既至,年终岁末正值病毒“扎堆儿”发作期。节假日期间人们上网休闲娱乐明显增多,聊天、下载电影,玩网络游戏的同时,也为黑客们提供了更多的“作战”机会,用户一不小心,就会落入黑客们精心准备好的“陷阱”之中。近日,微点主动防御软件即捕获了一种(或者使用“首例”)假扮“回收站”的病毒(Worm.Win32.AutoRun.nn)。微点反病毒专家提醒广大网友,U盘下默认是没有回收站的,如果您打开U盘时发现有回收站样式的图标,请一定要格外留心,以免不慎激活病毒造成损失。
图为伪装成回收站的病毒程序图标
据微点反病毒专家介绍,回收站对于大家来说太常见了,以至于病毒会利用U盘中没有回收站这个细节去欺骗网友运行。这个“假回收站”病毒在隐蔽手法上非常特别,使得一般用户难以发觉,从黑客角度讲可以有效延长病毒的存活时间。根据Windows的相关机制,硬盘和移动硬盘等大容量存贮器设置有回收站,而U盘等小容量存储器一般都没有回收站。所以广大网友如果在U盘下发现有回收站,或者在计算机磁盘各阅读全文>
发表于 @ 2007年12月30日 18:23:00|评论(loading...)|收藏
U盘病毒卷土重来 化身“方块Q”趁机作案备选:凶险病毒正卷土重来 U盘病毒变脸“方块Q”赌神甩出“方块Q ” 福兮祸兮说不清这么多年,每当提到扑克牌,第一印象还是发哥在电影《赌神》中标志性的“甩牌”动作,赌神高进一下将牌甩开,帅~!但是,如果你使用U盘时遇到了图标为“方块Q”的程序,千万不要以为是扑克牌游戏而轻易运行,据悉近期微点主动防御软件自动捕获的名为“Worm.Win32.Delf.atw”的蠕虫病毒就借用扑克牌“方块Q”的图标来迷惑用户。据微点反病毒专家介绍, U盘已成为黑客最喜爱的病毒传播途径之一,只需一个简单的autorun.inf脚本就可以完成病毒传播,黑客“何乐而不为”呢?从“熊猫烧香”到“AV终结者”、“小浩”等多种“知名”病毒无一例外都借助Windows自动播放功能,通过U盘、移动硬盘等移动存储设备大肆传播。“方块Q”病毒特点较为明显,使用扑克牌“方块Q”的图案作为其图标(图1所示),修改注册表强行开启Windows自动播放功能,以确保病毒通过U盘传播;假借IE进程隐藏自身,突破防火墙连接恶意网站下载更多病毒。阅读全文>
发表于 @ 2007年12月19日 16:28:00|评论(loading...)|收藏
还原卡神话破灭 “机器狗”来势汹汹
一向被认为具有“金刚不坏之身”的硬盘还原卡,目前正遭受来自“机器狗”病毒的严重侵袭——一种图标酷似Sony机器狗“AIBO”病毒程序可以轻松地将其突破,使安装了还原卡的电脑重启系统后,病毒仍然存在。中了“机器狗”病毒的电脑还会自动联网下载各种病毒木马,并借助ARP类病毒进行传播,使其传播速度成级数倍增快,很快就造成全网瘫痪。
据微点反病毒专家介绍,还原卡作为一种简单易用的管理工具,无论用户如何“蹂躏”电脑设置和文件,重启计算机后,系统都会自动还原到被保护时的状态,因此被广泛应用在网吧、学校机房。目前,已有众多使用硬盘还原卡的网吧、学校大面积感染“机器狗”病毒,造成网络瘫痪,无法正常运行。
机器狗图标(图)
记者就“机器狗”病毒为什么能够轻松突破还原卡这一问题采访了微点反病毒专家,微点反病毒专家介绍说,一般情况下,安装还原卡后,只需重启系统病毒自然就会灰飞烟灭,而机器狗病毒采用的技术手段较为巧妙,病毒的编写者对还原卡和Windows内核机制十分熟悉,通过自动释放出的内核级驱阅读全文>
发表于 @ 2007年12月07日 12:05:00|评论(loading...)|收藏
防火墙难识敌我 IE傀儡阴魂不散
备选:身披IE护身翼木马灵犀一点通
木马身披“IE皮” 个人防火墙如何应敌
“人类失去网络,世界将会怎样?”现如今无孔不入的网络已经渗透到我们工作生活的方方面面,网络购物、网络游戏、即时通信,深深地让我们体会到网络的便利和巨大魅力,更难以想象离开网络之后的生活会变成怎样。而目前网络安全的现状不容乐观,网民们的安全意识也在遭受了一次次的“惨痛”经历后逐渐提高。现在的电脑从只装杀毒软件逐步转变为同时安装杀毒软件和个人防火墙,以增强计算机对网络病毒的防护能力。尽管个人防火墙在安全防护中,确实可以起到一定的作用,但近日微点主动防御软件自动捕获的一名为“Trojan-Downloader.Win32.Delf.hrk”的木马病毒,却为个人防火墙敲响了警钟。
据微点反病毒专家介绍,该木马病毒使用的注入手法并不新颖,甚至可以说是老套,但是会对个人防火墙产生严重冲击。个人防火墙针对进程报警,进程第一次进行网络访问的时候会向用户报警询问是否放行。而该病毒摸准了用户的使用习惯,会在后台偷偷开启一个正常的IE进程,并将病毒文件阅读全文>
发表于 @ 2007年11月30日 14:40:00|评论(loading...)|收藏
真相永远只有一个 “柯南”病毒专偷QQ密码
备选:
“真相永远只有一个”,病毒借柯南隐身
盗号蠕虫竟然假借知名动漫人物“名侦探柯南”的形象,利用人们的好奇心理,使得用户放松警惕,借此来骗取用户运行点击,从而实现对QQ密码的盗取。近日微点主动防御软件自动捕获一名为Worm.Win32.AutoRun.fo的病毒程序,该病毒图标为柯南头像,一旦点击运行,其病毒本质的狼子野心顿时表露无遗。
图为化身为“名侦探”柯南的病毒程序图标
据微点反病毒专家介绍,从某种程度上说这个病毒没有给全能侦探柯南“丢脸”,所用技术之全面令人叹为观止。在系统目录下生成多个隐藏文件,用多种手法强行干掉多种杀毒软件,遍历进程试图通过全局挂钩将病毒文件注入到所有进程中,监视键盘和鼠标消息,伺机盗取QQ密码;针对部分用户关闭Windows自动播放功能以图预防U盘病毒的特点,该病毒会强行开启Windows自动播放功能后,再利用U盘传播,令人防不胜防。
图为主动防御软件的报警图阅读全文>
发表于 @ 2007年11月19日 14:16:00|评论(loading...)|收藏
木马下载器连环出击盗号 “完美时空”帐下《完美世界》《武林外传》《完美世界II》《诛仙》无一幸免(1108)
备选:
黑客木马猖獗 狂盗众热门网游帐号
黑客猖獗诛仙武林外传完美世界一个都不能少
诛仙武林外传完美世界齐刷刷黑客灵魂附体
诛仙武林外传完美世界在这一刻黑客附体
作为国内领先的网络游戏开发商和运营商,完美时空公司凭借其使用专利的Angelica 3D游戏引擎开发的多款3D大型多人网络角色扮演游戏《完美世界》、《武林外传》《完美世界II》,2007年第一季度,这三款游戏的平均同时在线玩家总数达到23.7万人。2007年5月底,完美时空又推出了一款自主开发的3D网络游戏《诛仙》。
但是,关注优秀热门网络游戏的不只是玩家,更包括黑客。近日,微点主动防御软件就自动捕获一名为“Trojan-Downloader.Win32.Agent.lqh”的木马下载器,该木马几乎没有花哨的多余操作,连网从某恶意网站远程下载,下载病毒后,直勾勾地查找名为“Element Client”的窗口(完美世界、武林外传、诛仙等网络游戏)获取该游戏的进程作病毒体注入,继而窃取玩家的帐阅读全文>
发表于 @ 2007年11月09日 10:59:00|评论(loading...)|收藏
病毒发狠出新招 开启DOS就重启
备选:
霸道病毒更猖狂 多重手段难提防
进入Dos就重启 检查木马蠕虫先
文件夹选项莫名丢失 都是病毒惹得祸
网络上很多文章都介绍系统出现问题后,点击开始菜单——运行——输入CMD,开启Windows命令行模式进行高级修复。黑客们敏锐地洞察力再次派上了用场,现在居然出现了运行CMD后就会重启的病毒。
近日,微点主动防御软件自动捕获一名为“Email-Worm.Win32.Brontok.iy”的邮件蠕虫病毒。编写该病毒的黑客深入研究了网民的日常使用习惯,并对此布下重重陷阱。除在注册表中写入启动项的传统方式,新建计划任务的隐蔽方式,该病毒甚至大胆地使用了一种更“霸道”的手法,直接将病毒文件放入开始菜单启动组。黑客之所以能够如此明目张胆,是因为病毒早已将设置是否显示隐藏文件的“文件夹选项”从系统菜单中直接删除。在锁定注册表编辑器,删除“文件夹选项”并隐藏所有系统文件和隐藏文件之后,黑客还采取了更进一步的自我保护。为了防止高级用户使用Windows命令行模式修复系统,该病毒竟然在发现用户使用CMD阅读全文>
发表于 @ 2007年10月29日 13:04:00|评论(loading...)|收藏
大话西游再创新高盗号木马趋之若鹜
备选:
盗号木马也追星 大话西游成目标
大话西游再创新高病毒也爱挑肥拣瘦
大话西游再创新高病毒竟也嫌贫爱富
大话西游再创新高病毒也长势利眼
近日,微点主动防御软件自动捕获一名为“Trojan-PSW.Win32.Delf.ftp”的盗号木马。该木马目前非常活跃,专门盗取当前热门网络游戏“大话西游”的帐号密码。据网易官方数据显示,大话西游目前注册人数超过9900万,最高同时在线人数突破60万3千,位居中国网络游戏市场三甲之列。正是因为大话西游庞大的玩家数量,也一直使得黑客们对该游戏帐号“青睐有加”。
据微点反病毒专家介绍该病毒极为狡猾,除使用传统手法将释放的病毒文件改为系统隐藏属性外,还刻意修改病毒文件的创建时间和修改时间,使得排查新文件的传统手工杀毒方法失去了效果。更为“变态”的是,该病毒采用较为极端的自我保护方式,每隔0.5秒即会自动修改一遍注册表以阻止用户修改系统设置,从而确保病毒注入其他进程、突破Windows防火墙的保护、同时试图阻止用户使用Windows自动更新功能。
阅读全文>
发表于 @ 2007年10月25日 14:37:00|评论(loading...)|收藏
病毒主动即时升级反病毒软件如何应对
备选:病毒也玩即时升级正面挑战传统杀软
众所周知,传统特征码杀毒技术的工作流程是“截获-处理-升级”,虽然这种技术已经非常成熟可靠,但总是滞后于病毒的传播。如果病毒模仿杀毒软件主动即时升级功能,在杀毒软件“截获-处理-升级”过程之间主动进行升级,传统杀毒软件岂不会再次陷入无法查杀的困境?
近日,微点主动防御软件自动捕获了一种具有“主动及时升级”功能的病毒,与常见的电脑病毒不同的是,该名为“Backdoor.Win32.Agent.esg”的木马病毒,采用了与杀毒软件“实时升级病毒库”相类似的升级方式,进行病毒自身的及时更新,该病毒通过后台自动连接到某一网络地址,进行病毒最新版本的及时下载升级,争取第一时间得到更新自身,以逃避传统杀毒软件对病毒的查杀。
据了解,该后门程序激活后,在系统目录下生成KUSN33SD.EXE和KUSN433SD3.DLL文件,并且修改系统时间,试图使部分杀毒软件过期失效;修改注册表,将KUSN33SD.EXE注册为名为kusn33sd的服务,并启动该服务;遍历系统进程,将自身注入到winlog阅读全文>
发表于 @ 2007年10月18日 15:03:00|评论(loading...)|收藏
冒充“超级兔子” 盗号木马突破QQ软键盘密码保护。“QQ软键盘密码保护”(图2所示)是QQ2006正式版新增加的用户登录输入密码的保护措施:用户在登录QQ输入密码时,可以用鼠标点击软键盘上的键来输入密码,同时每次打开QQ登录窗口,软键盘上的键值都随机发生变化,以保证输入的密码不被键盘记录木马盗取。事实上,该QQ盗号木马已考虑到了QQ软键盘的密码保护使用的安全防范措施,该木马程序激活后,试图通过截取软键盘窗口发出的文本消息来获取用户通过软键盘输入的帐户信息,从而突破软键盘密码保护技术。阅读全文>
发表于 @ 2007年09月24日 11:20:00|评论(loading...)|收藏
黑金ARP为恶作伥,木马传播进入倍增时代
近期,东方微点公司频频接到用户举报称多家知名网站被挂马,打开网站任意一个页面,微点主动防御软件都会报警提示发现未知木马。据悉,网页被挂马是黑客们惯用的一种“种植木马”的手段,但与以往不同,近期这些被挂马网站的典型特点不是单独一个页面被挂马,而是网站任意一个页面均被挂上了木马。经过微点反病毒专家进行技术分析得知,该情况与通过入侵网站服务器进行网页挂马的传统手段有很大的不同,而是通过一种新型的“黑金ARP”欺骗攻击手段。利用这一手段,可使病毒的传播速度呈数十倍的增长,危害极大。
据微点反病毒专家介绍,这种新型的“黑金ARP”欺骗攻击手段实为一种带有浓郁牟利色彩的新型木马传播手段。利用此类“黑金ARP”欺骗攻击手段,可以对病毒实现较为快速的传播,已成为黑客赚取黑金的聚宝盆。 “黑金ARP” 最大的特征是:一机中毒,全网遇难。而诸如上述某些知名网站被挂马的原因,实际上并非网站本身被挂上了木马。通常较为知名网站的服务器安全都具有较好保障,但多数网站采取服务器托管,而托管机房的局域网环境则情况复杂。而一旦托管机房网络中任意一台计算机感阅读全文>
发表于 @ 2007年09月11日 11:22:00|评论(loading...)|收藏
“自动播放”已成为黑客入门首选试金石 随着“AV终结者”的肆虐,“自动播放”类病毒逐渐被广大电脑用户所熟知。例如,被命名为“Worm.Win32.VB.ot”的蠕虫病毒,除利用感染全盘文件和自动播放等常规“作案”手法外,还采用了多种技术手段试图通过较为“人性”的启动方式将病毒传播能力进一步扩大化,该病毒没有采取常见的注册表启动项 Run键值来进行病毒的自身启动,而采用了随系统关键进程Winlogon.exe启动的手法来隐匿自身行踪;阅读全文>
发表于 @ 2007年09月06日 10:29:00|评论(loading...)|收藏