Wednesday, February 13th, 2008
wmic process where name="userinit.exe" call terminate
wmic process where name="usrinit.exe" call terminate
@echo OFF
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
echo 正在获取本机信息.....arp -d
:IP
FOR /f "skip=13 tokens=15 usebackq " %%i in (`ipconfig /all`) do Set IP=%%i && GOTO MAC
:MAC
echo IP:%IP%
FOR /f "skip=13 tokens=12 usebackq " %%i in (`ipconfig /all`) do Set MAC=%%i && GOTO ...
Posted in 网吧经验谈 | No Comments »
Tuesday, January 15th, 2008
机器狗,应该是这个病毒吧c:\windows\linkinfo.dll文件,一直杀不掉,用超级巡警的机器狗免疫程序也貌似没用。360搞得死去活来,一直报阿报。
超级巡警干脆让系统死机(关于司机原因目前还不清楚是不是因为超级巡警,由于装拉超级巡警的机子无一例外的死机,到现在还没时间去仔细研究死因。)
这次作的新系统可能没有格盘的原因或这是我激活其他分区的病毒感染程序,刚做完就带病毒(系统看起来没啥问题),这次使用开机运行脚本驻留内存不断循环的查杀userinit.exe和usrinit.exe进程,还有开机就吧网络连接断开(因为linkinfo.dll是个下载者)或者开着360先暂时拦截着他下在其他更多的木马,然后用360修复系统漏洞,最好大全,欧一口气打啦112个漏洞,其中两个是在带有网络连接的安全模式下打的。
然后从下载好压缩包中解压微点主动防御软件装上然后升级重起,然后配置微点,由于批量的电脑等着用这个系统就最好用静默方式处理恶意程序和发现的病毒,并且处在内网,所以绑定拉网关防止arp攻击。
添加信任程序(需要提醒的是对于小的程序并且有压缩包的绿色程序建议重新解压下覆盖已经有的程序,因为这群病毒可能已经感染拉你的可执行程序exe文件)。
如果你不用微点,那么建议你无论如何也要做使用专业的杀软做一次全盘扫描(专业对于360和超级巡警应该不能考虑进来的说!!个人见解他们只是杀毒的辅助工具而已)。
然后该干啥干啥,偶接下来做的是优化系统,根据需要配置系统设置。
然后重起备份系统分区,刻盘测试。。
关于机子死因:
Posted in 今日一点, 安全, 病毒学习, 网吧经验谈 | No Comments »
Saturday, January 12th, 2008
增加系统**
当机器狗刚出现时,就有人写出了相应的免疫批处理代码,如下:
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
exit
按说,这段代码对于最早的机器狗病毒(10月17日之前)是管用的。机器狗病毒早期的确生成了pcihdd.sys文件.而且还修改了 userinit.exe文件。基于这两点出发,建立一个pcihdd.sys的目录,以及设置userinit.exe的访问权限是管用的。
然而,病毒作者很快发现了这一点。他迅速的在后期的版本中,也加入了批处理的内容。即对以上批处理作了个反向工程,解除设置的权限,删除免疫目录,还是修改userinit.exe文件,达到加载其它病毒木马的目的。
后来,为了防止目录被删掉,有些强人更是出怪招,在pcihdd.sys目录下再建个怪异的目录名,形如"ty.../"的目录。这个目录用批处理是可以建立的,但是不可删除。同样,建了这个目录,pcihdd.sys目录也就不可删除了。
在后期变种中,病毒不再使用pcihdd.sys的这文件为驱动,改成了其他的文件名,比如笔者今天发现的变种,驱动名就是comint32.sys..
这样子看来,基于文件名的防疫方式宣告失败。有人还在不停的建那些怪异目录,以图防疫机器狗病毒。可这样子下去,你的系统里为增添多少**目录?你最后,你自己也没法删除这些**,甚至不得不格式化硬盘。
封域名,封IP
早期机器狗病毒,可以通过简单的反汇编工具,找到相应的下载病毒的网址。后期的机器狗病毒变种,也可通过查看中毒机器的IE临时文件找到下载病毒的网址。
机器狗病毒被各种检测方式很快被找到了,其ip地址和域名也能被发现。于是,在服务器或路由器里封掉这些域名或IP,的确可以有效防治它。然而,恶梦不会因此而结束。据笔者自身封的IP和域名,目前加起来已多达三十多个。还不包括每天都要新的域名或IP被以各种方式发现出来。
ROS里脚本在无限的加长些,路由器里的列表也就无限的增长着。这样的日子,我们看不到尽头在哪儿。
两行批处理,问题看是搞定,但也治标不治本
随着对机器狗病毒研究的深入,大家都一致发现了问题的关键在于userinit.exe和usrinit.exe(后期变种)文件。基于这点出发,可以使用以下两个批处理搞定问题:
wmic process where name="userinit.exe" call terminate
wmic process where name="usrinit.exe" call terminate
这是批处理高手写的,果然非同反响。该代码的的意思是:当发现进程里有userinit.exe时,即关闭;当发现进程里有usrinit.exe时,也关闭。因为批处理在winlogon后运行,所以病毒刚启动,就被杀掉了。这样也就失去了下载其它病毒的机会。不过,缺点是它只运行一次。这两代批处理的基础上,加入了每秒检查进程,一发现即终止的vbs脚本:
do while(1)
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcessList1 = objWMIService.ExecQuery _
("Select * from Win32_Process Where Name = 'userinit.exe'")
For Each objProcess1 in colProcessList1
objProcess1.Terminate()
Next
Set colProcessList2 = ...
Posted in Rootkit, 安全, 病毒学习, 网吧经验谈 | No Comments »
Saturday, January 12th, 2008
机器狗
此病毒采用hook系统的磁盘设备栈(文件系统设备堆栈)来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
虚拟机内试验过后发现确实能穿透各种还原精灵,冰点还原精灵6.0 6.1 6.2等在其淫威下完全失去效用,还原精灵和还原卡似乎也无法幸免。
猜测应该是还原业内人士开发研制的,这种技术的应用极为少见,且如果精通这种技术的高手要做病毒不会用这种hook系统的磁盘设备栈的方式,完全可以有更强更好的方式达到彻底毁灭还原行业的方法;所以这个病毒应该是针对现在99%还原产品做的病毒。
病毒特点:
文件名为explorer.exe,图标为一只机器狗
中毒那么就会修改userinit.exe文件。而且这个文件的大小和时间都不会变,唯一改变的就是文件内容,所以如果想知道是不是穿透了必须对比感染前后的userinit.exe的文件内容,才能对比出来。
解决办法:
治标的办法是用任务管理器关闭usrinit.exe和userinit.exe和explorer.exe然后用没有中毒的userinit.exe替换系统文件夹下的userinit.exe和usrinit.exe文件。然后立即断电重启。进入系统使用机器狗免疫工具进行免疫。
推荐超级巡警的机器狗免疫程序(目前最新你版本是1.2)
-----------------------
机器狗工作原理分析
Posted in 网吧经验谈 | No Comments »
Monday, January 7th, 2008
al.99.vc挂马分析与解决建议
修改系统盘:C:\WINDOWS\system32\drivers\etc\host(用记事本打开)文件添加这句可以临时解决再次中这个站的木马病毒
127.0.0.1 al.99.vc
屏蔽这个网站就可以啦
。。。
http://w18.vg/real.gif貌似感染real,如果你有realone建议卸掉或者去官方下载最新的版本装上。如果你看到realone不是有错误提示说明你的realone有漏洞。
http://w18.vg/ms.gif这个貌似只有ie7才会被中上。所以建议你打上最新的ie补丁。
http://w18.vg/baidu.gif百度搜霸的漏洞利用,建议直接卸掉就可以啦。或者升级你的搜霸。
http://w18.vg/x1.gif这个已经为404页啦不清楚是什么
http://w18.vg/lz.gif利用的是glchat的漏洞是一个聊天工具
http://w18.vg/bf.gif暴风影音的漏洞利用,建议去下载新的暴风影音
如果个人机子建议打开病毒实时检测功能。
如果你有更好的建议,谢谢分享。
Posted in 安全, 网吧经验谈 | No Comments »