这些天为恶意软件的入侵所苦恼,早晨公司电脑上居然出现灰鸽子。
于是研究了一下恶意软件是如何绕过IE的安全策略和杀毒软件溜进我的电脑的。
成果如下:
杀毒软件就不说了,恶意软件出的比牛毛还多,国货没有当自强,老外的杀毒软件又“不了解中国国情 ”,所以只有“凭我二十年从医经验”来判断了。手工抓出恶意软件几十个,简单说一下特点,莫名其妙的启动项,windows以及system32下名字奇怪(数字和字母组合)的可执行程序,而且好多还加了系统和隐藏熟悉(开玩笑,都在这目录了还又系统又隐藏,肯定有鬼),名字和系统已存在程序相近的--什么svch0st.exe、scvhost.exe、什么windows.exe,隐藏的dll文件等等,最牛的是发现了一个jpg和一个bmp格式的病毒,呵呵天下越来越不太平了,bmp那个是914847M.BMP,你的电脑windows目录下有的话恭喜你中招了,还有那个jpg叫shua.jpg,它们的明显特征就是该图片不能看,另外D盘根目录的mplay.pif和mplay.exe都是病毒啦
说到这里推荐一下瑞星卡卡,914847M.BMP发现后一直不知道他是怎么搞的,用卡卡发现了原来恶软越来越底层越来越牛了。好了瑞星广告做完,找瑞星要推广费去……
那么怎么没有见到提示下载恶意软件就安家了呢?经过我的“仔细”研究,发现一种方法是利用ado组件的一些功能下载了恶软并在本地执行(绕过了IE不允许脚本运行可执行程序的限制),另外一种就是把真实的脚本编码,在本地解码再执行。为了避免被有恶意的人学会,暂不公布其代码,有兴趣的人可以自己去中一个试一下然后获取恶意网页源代码看看。
准备研究一个对付恶软的“土炮”,我不会作PE文件分析,不会搞病毒特征码只好用简单的方法试试了,有成果时拿出来“秀”一下。
OK,造土炮去啦~~~
7261
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
