V2012.EXE释放,Worm/Win32.palevo.cuxf[p2p]分析(转)

出处:安天实验室 时间:2011年11月17日

病毒标签

病毒名称: Worm/Win32.palevo.cuxf[p2p]
病毒类型: 后门
文件 MD5: 275C5F9BC71FA2DB956ECA4129659A87
公开范围: 完全公开
危害等级: 3
文件长度: 208,896字节
感染系统: Windows 2000以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 无

—————————————————————-

病毒描述

该恶意代码文件为后门程序。病毒运行后会连接指定IP地址,接收控制者发送的命令。病毒会添加注册表启动项,尝试结束卡巴、江民、瑞星、360等安全软件。病毒同时具有键盘记录功能,能够记录用户信息,并将信息后上传到远程控制端。

———————————————————————————————————————————-[……]

继续阅读

BMW病毒来袭,大家注意!

分析,该病毒能够感染电脑主板的BIOS芯片和硬盘MBR(主引导区),再控制Windows系统文件加载恶意代码,使受害用户重装系统、格式化硬盘甚至换掉硬盘都无法彻底清除病毒。

与13年前全球闻名的CIH相比,BMW病毒同样会感染BIOS芯片,但它的危害更为严重。

CIH发作的后果是破坏硬盘数据、破坏BIOS芯片。而BMW病毒能够联网下载任意程序,不仅可以窃取或破坏硬盘数据,还可按照黑客指令实施盗号、远程控制“肉鸡”、篡改浏览器等多重危害。

根据360安全中心分析,BMW病毒攻击过程分四步:感染主板BIOS芯片;通过BIOS芯片感染硬盘MBR;通过MBR感染Windows系统文件;联网下载大批盗号木马等恶意程序,并将浏览器主页篡改为“new93网址导航”。

“用户电脑在正常开启360安全卫士的情况下,能够防御BMW病毒,使其无法感染主板BIOS芯片和硬盘MBR。”360安全专家石晓虹博士透露。

据悉,BMW病毒和此前泛滥的“鬼影3”使用了相同的服务器,应该是由同一个黑客团伙制作出来的,中招人群主要是使用游戏外挂而关闭安全软件的玩家。

据介绍,如果安全软件扫描发现“硬盘引导区病毒”,杀毒后又会重复出现,很可能是电脑中了BMW病毒。为此,360今日紧急独家推出“BMW病毒专杀工具”,建议反复杀毒都杀不干净的网民下载使用。

“BMW病毒专杀工具”下载

地址:http://down.360safe.com/

MBRImmunity.zip。

安全小贴士

1.什么是BIOS?[……]

继续阅读

近期黑客远程攻击-金山防黑墙-很先进强大

防黑墙,超出了防火墙,这是金山说的。

这两天总是受到攻击,说实话,第一次确实被吓到了。呵呵。去了趟毒霸社区。最后明白了一点。

最近黑客攻击猖獗啊。不停地扫IP啊,你扫一扫外国的不行吗?非要扫中国的吗?哎,多扫扫国外的,进攻一下国外,多好。碰到这样的,大家还是做好本身的防御。防御做[……]

继续阅读

盗号的简单介绍(未完待续)

         今天在单位休息时,一个哥们给我打电话,告诉我:他的魔兽世界游戏号被盗了,问我如何盗取别人的游戏号。这让我大吃一惊,大家们可能都知道,盗取别人的游戏号不在乎几种方法:木马,获奖信息,软件绑定。这三种都是普遍的手段。
         先来说一下木马与软件绑定的手段:这里使用的就是键盘记录功能。1、网页式下载种马。当用户浏览某个网页,网页会自动运行脚本,下载程序,下载后,程序自动运行,干掉防护软件或者替换相关的程序进程。记录游戏账号与密码,发送到指定地方。这里的过程那就是平常人们说的,网页挂马,游戏箱子。用户要注意expolrer.exe和spoolsv.exe两个进程。2、传输式种马,这种就是用户的好友通过QQ等即时聊天或者共享地址,用户自己下载到自己电脑中,运行运行程序,结果程序显示错误或者安装成功,但是你根本就没有发现安装的程序,其实,你已经自己安装了木马程序。[……]

继续阅读

鬼影病毒分析报告

来源:金山

一、鬼影病毒概述

  这是一个木马下载器,使用了ring3恢复内核钩子、感染磁盘引导区(MBR)、多种方法结束杀毒软件等技术自启动并对抗杀毒软件。完全感染后,是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。
  二、鬼影病毒分析
  1病毒的启动方法
  感染MBR以获得凌驾于操作系统的启动权—->HOOK文件操作中断,搜索NTLDR文件(主要目标xp,2003系统)进行hook—->hook内核函数实现优先加载驱动并执行病毒驱动——>后期其他操作(比如下载盗号木马,统计感染量等)
图1,鬼影病毒感染前后,MBR的变化。
图2 中毒后的磁盘扇区变化示意[……]

继续阅读

网页病毒(转,复制有错误,正在一字一字修改)

作者: 不详

 来源:黑客防线

      网页病毒、网页木马的制作方式:

     Ⅰ.Javascript.Exception.Exploit 利用JS+WSH的完美结合,来制作恶意网页的方法几乎是所有恶意站点必有的“功能”。

     Ⅱ. 错误的MIME Multipurpose Internet Mail Extentions,多用途的网际邮件扩充协议头 几乎是现在网页木马流行利用的基本趋势,这个漏洞在IE5.0到IE6.0版本中都有,对这么一个全能的漏洞,大家怎能不重视?

     Ⅲ..EXE to .BMP + Javascritp.Exception.Exploit具体的.EXE转化到.BMP的文章我想大家都见到过,而且不止一次,应用方法很简单:诱骗浏览者上当。

      Ⅳ. iframe 漏洞的利用 当微软的IE窗口打开另一个窗口时,如果子窗口是另一个域或安全区的话,安全检查应当阻止父窗口访问子窗口。但事实并非如此,父窗口可以访问子窗口文档的frame,返可能导致父窗口无论是域或安全区都能在子窗口中设置Frame或IFrame的URL。这会带来严重的安全问题,通过设置URL指向javascript协议,父窗口能在子域环境下运行脚本代码,包括任意的恶意代码。攻击者也能在“我的电脑”区域中运行脚本代码。这更会造成严重的后果。

      Ⅴ.通过安全认证的CAB,COX 此类方法就是在.CAB文件上做手脚,使证书.SPC和密钥.PVK合法 。

       原理:IE读文件时会有文件读不出,就会去“升级”这样它会在网页中指定的位置找 .cab 并在系统里写入个CID读入.cab里的文件。
       方法: .cab是WINDOWS里的压缩文件,我们知道IE里所用的安全文件是用签名的,CAB也不例外,所做的CAB是经过安全使用证书引入的。也就是说IE认证攻击,只所以每次都能入侵我的脑,是因为它通过的是IE认证下的安全攻击,这样不管我怎么做都没办法。

       Ⅵ.EXE文件的捆绑 现在的网页木马捆绑机几乎是开始泛滥了,多的数不胜数。再将生成的MHT文件进行加密,好,这样一来,还我们最信任的杀毒软件也无效了。

    网页病毒、网页木马的运行机理分析[……]

继续阅读