Archive for the ‘安全’ Category
Sunday, March 2nd, 2008
先是看到国内的gsm服务商并没有加密数据通讯,又看到手机短信被嗅探窃看的截图(不是我抓得厄)
中国的GSM到底是不是加密的:http://hi.baidu.com/tombkeeper/blog/item/534571d9edcef22811df9bd2.html
手机打电话是可以窃听的?短信也同样?http://hi.baidu.com/tombkeeper/blog/item/49ac4043a14b15159213c636.html
人家移动老总不是说过嘛:“你是谁,你在哪里,我们都知道”。
。。。
Posted in 安全 | No Comments »
Tuesday, January 15th, 2008
usrinit.exe
应该是最近闹得很火的机器狗病毒产生的假冒系统文件.可以直接中止,感染正常的系统文件userinit.exe不修改时间和大小只改文件内容。
usrinit.exe档案
W32.Kedebe.E@mm的一个组件
病毒名称:W32.Kedebe.E@mm
病毒类型:蠕虫
发现日期:2005年7月12日
危害程度:蠕虫复制自身为系统文件夹下的[一个不可打印字符][文件名],不可打印字符表示为0xA0,在不同操作系统下的显示不同,文件名为如下之一: nbtstat.exe、usrinit.exe、user.exe、winhlp32.exe、telnet.exe、locator.exe、 recover.exe、logman.exe、dlhost.exe、logonui.exe、winspol.exe、services.exe、 svchost.exe、lsas.exe、rundl32.exe、regedt32.exe、winlogon.exe、wuauclt.exe。在 记事本中打开临时文件夹下的[初始文件名].txt文件并显示如下文本:This document cannot be run under older versions. Please install latest version of Notepad. [随机文本]。从带有特定扩展名的文件中收集邮件地址,向收集到的地址发送自身副本。。试图终止带有某些文本的进程并删除相关文件以降低安全设置。向 hosts文件增加条目以阻止对一些与安全相关网站的访问。删除一些安全程序的文件!
阻止usrinit.exe
可以使用机器狗病毒的专杀工具(目前还没发现好用的专杀工具)建议是用免疫工具(超级巡警有个机器狗免疫程序),然后可以建立个开机运行脚本检查进程中是否有usrinit.exe进程,如果有就立即中止。
脚本类似:
wmic process where name=”userinit.exe” call terminate
wmic process where name=”usrinit.exe” call terminate
该代码的的意思是:当发现进程里有userinit.exe时,即关闭;当发现进程里有usrinit.exe时,也关闭。因为批处理在winlogon后运行,所以病毒刚启动,就被杀掉了。这样也就失去了下载其它病毒的机会。不过,缺点是它只运行一次。这两代批处理的基础上,加入了每秒检查进程,一发现即终止的vbs脚本:
do while(1)
strComputer ...
Posted in 安全, 病毒学习, 网吧经验谈 | No Comments »
Tuesday, January 15th, 2008
机器狗,应该是这个病毒吧c:\windows\linkinfo.dll文件,一直杀不掉,用超级巡警的机器狗免疫程序也貌似没用。360搞得死去活来,一直报阿报。
超级巡警干脆让系统死机(关于司机原因目前还不清楚是不是因为超级巡警,由于装拉超级巡警的机子无一例外的死机,到现在还没时间去仔细研究死因。)
这次作的新系统可能没有格盘的原因或这是我激活其他分区的病毒感染程序,刚做完就带病毒(系统看起来没啥问题),这次使用开机运行脚本驻留内存不断循环的查杀userinit.exe和usrinit.exe进程,还有开机就吧网络连接断开(因为linkinfo.dll是个下载者)或者开着360先暂时拦截着他下在其他更多的木马,然后用360修复系统漏洞,最好大全,欧一口气打啦112个漏洞,其中两个是在带有网络连接的安全模式下打的。
然后从下载好压缩包中解压微点主动防御软件装上然后升级重起,然后配置微点,由于批量的电脑等着用这个系统就最好用静默方式处理恶意程序和发现的病毒,并且处在内网,所以绑定拉网关防止arp攻击。
添加信任程序(需要提醒的是对于小的程序并且有压缩包的绿色程序建议重新解压下覆盖已经有的程序,因为这群病毒可能已经感染拉你的可执行程序exe文件)。
如果你不用微点,那么建议你无论如何也要做使用专业的杀软做一次全盘扫描(专业对于360和超级巡警应该不能考虑进来的说!!个人见解他们只是杀毒的辅助工具而已)。
然后该干啥干啥,偶接下来做的是优化系统,根据需要配置系统设置。
然后重起备份系统分区,刻盘测试。。
关于机子死因:
Posted in 今日一点, 安全, 病毒学习, 网吧经验谈 | No Comments »
Saturday, January 12th, 2008
增加系统**
当机器狗刚出现时,就有人写出了相应的免疫批处理代码,如下:
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
exit
按说,这段代码对于最早的机器狗病毒(10月17日之前)是管用的。机器狗病毒早期的确生成了pcihdd.sys文件.而且还修改了 userinit.exe文件。基于这两点出发,建立一个pcihdd.sys的目录,以及设置userinit.exe的访问权限是管用的。
然而,病毒作者很快发现了这一点。他迅速的在后期的版本中,也加入了批处理的内容。即对以上批处理作了个反向工程,解除设置的权限,删除免疫目录,还是修改userinit.exe文件,达到加载其它病毒木马的目的。
后来,为了防止目录被删掉,有些强人更是出怪招,在pcihdd.sys目录下再建个怪异的目录名,形如"ty.../"的目录。这个目录用批处理是可以建立的,但是不可删除。同样,建了这个目录,pcihdd.sys目录也就不可删除了。
在后期变种中,病毒不再使用pcihdd.sys的这文件为驱动,改成了其他的文件名,比如笔者今天发现的变种,驱动名就是comint32.sys..
这样子看来,基于文件名的防疫方式宣告失败。有人还在不停的建那些怪异目录,以图防疫机器狗病毒。可这样子下去,你的系统里为增添多少**目录?你最后,你自己也没法删除这些**,甚至不得不格式化硬盘。
封域名,封IP
早期机器狗病毒,可以通过简单的反汇编工具,找到相应的下载病毒的网址。后期的机器狗病毒变种,也可通过查看中毒机器的IE临时文件找到下载病毒的网址。
机器狗病毒被各种检测方式很快被找到了,其ip地址和域名也能被发现。于是,在服务器或路由器里封掉这些域名或IP,的确可以有效防治它。然而,恶梦不会因此而结束。据笔者自身封的IP和域名,目前加起来已多达三十多个。还不包括每天都要新的域名或IP被以各种方式发现出来。
ROS里脚本在无限的加长些,路由器里的列表也就无限的增长着。这样的日子,我们看不到尽头在哪儿。
两行批处理,问题看是搞定,但也治标不治本
随着对机器狗病毒研究的深入,大家都一致发现了问题的关键在于userinit.exe和usrinit.exe(后期变种)文件。基于这点出发,可以使用以下两个批处理搞定问题:
wmic process where name="userinit.exe" call terminate
wmic process where name="usrinit.exe" call terminate
这是批处理高手写的,果然非同反响。该代码的的意思是:当发现进程里有userinit.exe时,即关闭;当发现进程里有usrinit.exe时,也关闭。因为批处理在winlogon后运行,所以病毒刚启动,就被杀掉了。这样也就失去了下载其它病毒的机会。不过,缺点是它只运行一次。这两代批处理的基础上,加入了每秒检查进程,一发现即终止的vbs脚本:
do while(1)
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcessList1 = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'userinit.exe'")
For Each objProcess1 in colProcessList1
objProcess1.Terminate()
Next
Set colProcessList2 = ...
Posted in Rootkit, 安全, 病毒学习, 网吧经验谈 | No Comments »
Monday, January 7th, 2008
感觉没必要设个论坛,也没多少心思去照顾论坛,而且还要想着程序是不是需要打补丁!
如果有什么问题,我还是希望能在wiki中提出。
留个纪念截个图,现在还能访问我想应该是服务器缓存在起作用,图片都已经不能显示啦。
Posted in 关于空间, 安全 | No Comments »