Posted by Hacker on 06月 28, 2008
现在网络诈骗的形式越来越多,日前义乌出现一骗子使用黑客程序破解用户密码,然后冒名顶替向事主的QQ好友借钱,“朋友在QQ里发来短信要4000元急用,看看视频里的确是本人,于是我就寄钱了”,钟女士没想到这却是一个网络新骗局。
我们来解析下黑客是如何实施诈骗的。
首先黑客通过各种渠道(比如入侵网站后挂木马、提供带病毒的文件下载等等)盗取了用户的QQ密码,狡猾的黑客这个时候是不会修改你的QQ密码的,接下来会用另外一个QQ号码,一般是冒充天真无知的女孩来加你,然后借机跟你视频,当你看到对面是个漂亮的女人的时候可千万别美,你已经被人算计了。其实跟你视频的根本就不是女人,而你的照片早已被黑客录制下来,有可能你看到的女人也是黑客早已录制的。接下来黑客会修改掉你的QQ密码,然后就是冒充你在你的QQ好友里寻找诈骗的目标。前面提到的钟女士就是一个很好的例子。
其实黑客的伎俩并不高,只是中国的网民,90%的是白痴(我实话实说),除了玩玩游戏、逗下女孩我想他们没什么在行的。对于这样的人我并不会因为他们被骗而感到遗憾,不客气的说你早该被骗了。这个世界上从来没有强者同情弱者这回事。花钱买教训吧!
Posted by Hacker on 06月 28, 2008
相信电脑界的每个人都痛恨计算机病毒,她给我们带来了很多麻烦和损失,可你知道编写病毒的方法和过程吗?在此我仅以VB编写为例,揭开她的面纱。
用VB编写病毒需要考虑到如下几点:
* 感染主机
首先染毒文件运行后先要判断主机是否以感染病毒,也就是判断病毒主体文件是否存在,如果不存在则将病毒主体拷贝到指定位置(如:将病毒文件拷贝到c:\windows\system\),可用filecopy语句实现;如果病毒已感染主机则结束判断。
例如,判断C:\windows\system\Killer.exe是否存在,如果有则退出判断,如果没有则证明本机未感染病毒,立即拷入病毒文件。
病毒源文件名为game.exe
声明部分:
“”定义 FileExists% 函数
public success%
Function FileExists%(fname$)
On Local Error Resume Next
Dim ff%
ff% = FreeFile
Open fname$ For Input As ff%
If Err Then
FileExists% = False
Else
FileExists% = True
End If
Close ff%
End Function Read more »
Posted by Hacker on 06月 27, 2008
今天在这里为大家提供两则小技巧,以便帮你强行杀死顽固病毒进程。
根据进程名查杀
这种方法是通过WinXP系统下的taskkill命令来实现的,在使用该方法之前,首先需要打开系统的进程列表界面,找到病毒进程所对应的具体进程名。
接着依次单击“开始→运行”命令,在弹出的系统运行框中,运行“cmd”命令;再在DOS命令行中输入“taskkill/imaaa”格式的字符串命令,单击回车键后,顽固的病毒进程“aaa”就被强行杀死了。比方说,要强行杀死“conime。”病毒进程,只要在命令提示符下执行 “taskkill/imconime。”命令,要不了多久,系统就会自动返回结果。
根据进程号查杀
上面的方法,只对部分病毒进程有效,遇到一些更“顽固”的病毒进程,可能就无济于事了。此时你可以通过Win2000以上系统的内置命令 ——ntsd,来强行杀死一切病毒进程,因为该命令除System进程、SMSS。进程、CSRSS。进程不能“对付”外,基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前,需要先查找到对应病毒进程的具体进程号。
考虑到系统进程列表界面在默认状态下,是不显示具体进程号的,因此你可以首先打开系统任务管理器窗口,再单击“查看”菜单项下面的“选择列 ”命令,在弹出的设置框中,将“PID(进程标志符)”选项选中,单击“确定”按钮。返回到系统进程列表页面中后,你就能查看到对应病毒进程的具体PID 了。
接着打开系统运行对话框,在其中运行“cmd”命令,在命令提示符状态下输入“ntsd - cq - pPID”命令,就可以强行将指定PID的病毒进程杀死了。例如,发现某个病毒进程的PID为“444”,那么可以执行“ntsd - cq - p444”命令,来杀死这个病毒进程。(注意空格)
Posted by Hacker on 06月 25, 2008
简便快捷好方法 请看注册表应用点点通
1.快速删除键值
通常情况下我们要删除注册表中的某个键或者键值,都是打开“注册表编辑器”,然后定位到相关分支进行删除操作。但如果我们要对多台计算机做 同样的操作呢?或者这种删除操作是需要常常进行的呢?这就不方便了。其实可以通过将删除操作做成*.reg文件的形式,双击该*.reg文件即可完成删除操作。
删除某个注册表分支:打开“注册表编辑器”,将要删除的分支导出为*.reg文件,用“记事本”打开该文件,将形如 “[HKEY_LOCAL_MACHINE\SOFTWARE\……]”的字段修改为“[-HKEY_LOCAL_MACHINE\SOFTWARE \……]”即可。
删除某个注册表键:同样将该键导出为*.reg文件,用“记事本”打开该文件,将要删除键的键值修改为“-”即可,如要删除某名为“cfan”的键,则修改为形如:”cfan”=-。
2.修复文件的注册表关联
中了木马之后其实最麻烦的并不是查杀,而是查杀之后的系统设置恢复过程,由于木马普遍都对注册表比较感兴趣,而在查杀之后杀毒软件又不会自动修复注册表,所以经常出现杀毒后反而无法正常使用的情况。文件的注册表关联就是最典型的例子,如何快速修复它呢?
(1)由于无法运行文件,而又需要通过Regedit.来修改注册表,所以先要把C:\Windows目录下的Regedit.文件重命名为Regedit.com,运行Regedit.com启动“注册表编辑器”。
(2)定位到[HKEY_CLASSES_ROOT\.],将右侧窗口中“默认”的键值改为“file”。
(3)依次展开[HKEY_CLASSES_ROOT\file\shell\open\command]分支,然后将右侧窗口中的“默认”的键值改为“”%1″ %*”(不要外侧引号)。 Read more »
Posted by Hacker on 06月 25, 2008
Art Hacker今日提醒您注意:在今天的病毒中TrojanDownloader.Losabel.as“露萨”变种as和Trojan/Vaklik.la“伪颗粒”变种la值得关注。
病毒名称:TrojanDownloader.Losabel.as
中 文 名:“露萨”变种as
病毒长度:34773字节
病毒类型:木马下载器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Losabel.as“露萨”变种as是“露萨”木马家族的最新成员之一,采用Delphi语言编写,并经过加壳处 理。“露萨”变种as运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重命名为 “vistaAA.exe”。将其添加为启动项,实现木马开机自动运行。在被感染计算机系统的后台连接骇客指定站点,获取恶意程序的下载地址列表,并下载 所有的恶意程序。所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等,给用户带来不同程度的损失。强行篡改注册表,实现进程映像劫持,导致 用户运行某些安全程序时实际上运行的是“露萨”变种as,甚至系统自带的任务管理器也无法正常运行。在被感染计算机系统的后台秘密监视正在运行的进程名和 已打开的窗口标题,一旦发现某些安全软件程序正在运行,马上将其强行关闭。破坏注册表项,致使无法显示隐藏文件。遍历用户计算机的C到Z驱动器,创建病毒 副本,利用U盘、移动硬盘等移动设备进行传播。“露萨”变种as执行安装程序完毕后会自我删除。另外,“露萨”变种as还可以自升级。 Read more »
Posted by Hacker on 06月 19, 2008
互联网的安全在今天越来越被更多的人重视。人们采用各种办法来保护网络安全。可总也避免不了这样那样的攻击、漏洞。下面例举了十种可瞬间毁掉整个互联网的袭击手段,让大家看看。也希望大家在日常上网或工作时能够注意到。
1. DNS (域名解析服务)被颠覆了。互联网的正常运行全靠 DNS。如果有人破坏——或更糟,颠覆了——网站访问的基石,人们将会不再相信什么 URL 网址,网络欺诈也将变得如同儿戏,因为:占有 DNS 者,占有互联网。
2. 僵尸网络攻击!无数“肉鸡”电脑已被控制,躲在阴暗潮湿不通风角落的黑客只需一声令下,即可发起攻击。 MessageLabs 的 Matt Sergeant 估计僵尸网络病毒控制了 5-10 百万的计算机(但有人认为这个数字没这么大)。现在,这些僵尸机器人让我们的收件箱充满了垃圾邮件,而过去,它们只是用来发泄一下不满情绪或者勒索恐吓一 下网站。但最终,这将演变为一场军备竞争,只不过其中一方不受任何规则的约束。
3. 物理设备发生大规模故障。如果弄断几根地中海的电缆,可以让成千上万的用户无网可上。如果有人蓄意搞破坏,后果将不堪设想啊!
4. 肢解为 N 个独立网络。从古老的 Usenet 至今,人们一直进行着“物以类聚”的分组行为。Nicholas Carr 在《The Big Switch》 一书中指出:一项研究声称一个社区,不管保守或自由,其 90% 的链接都没能离开该社区。甚至,对某些参考链接工具进行配置以后,可以使访问者一直停留在具有相同观点的网站上。这样结果会怎样?一个个独立的信息孤岛, 人们分享的都是相同的观点和思想,并渐渐确信他们拥有唯一的、正确的答案。互联网的祖先们早有预见:这将是全球化社区之梦的破灭。 Read more »
Posted by Hacker on 06月 19, 2008
一、事件回放:
2008年6月16日,数据安全实验室在畅游巡警用户举报的木马中,发现了利用uusee的高危0day漏洞,并在第一时间把木马样本和技术分析资料提交给uusee官方。
6月17日,uusee官方发布漏洞声明。在声明中仓促的宣布漏洞威胁已解决,而实际上声明中除了百般的推脱责任外,三项实质性的补救措施竟无一合理:
其一、软件出现漏洞后,竟没有发布紧急升级补丁和使用强制升级,而是要求全体uusee2008用户重新下载安装新版本,同时漏洞信息公开很不通明,绝大多数UUsee户蒙在鼓里。
依据超级巡警团队的测试发现网上大多数UUsee下载站,到目前为止依然没有把UUsee更新到最新版本,并且在UUsee软件界面上根本没有任何 威胁提示。登陆UUsee官方网站,同样看不到任何有关漏洞的预警提示信息。这样等于把绝大多数不知情的uusee用户完全暴露在危险当中。uusee控 件0day属于高危漏洞,可以在后台自动下载任何病毒和木马,对用户群庞大的uusee用户将造成巨大的损失。
其二、曲解微软数字签名的含义,给用户带来严重误导。
UUSee官方的在漏洞声明中强调禁用“已下载的没有微软签名的ActivX控件”,就可以保证用户安全。而事实上包含微软数字签名只能代表文件出 自软件官方。换换句话说,包含有微软数字签名并不能代表软件中没有漏洞。而讽刺的是UUSee2008出现漏洞的那个dll就包含有微软的数字签名。
其三、开国际玩笑,推荐用“卡巴斯基”打补丁。
UUsee在官方漏洞声明中包含一个用卡巴斯基扫描自己的截图,以证明自己发布新版本没有漏洞。有一点安全常识的网友都了解,卡巴斯基是一款杀毒软件,不具备漏洞扫描功能,也不能下载漏洞补丁,而uusee官方在漏洞声明中赫然写着推荐用卡巴斯基下载补丁。
二、数据安全实验室推荐解决方案:
1、下载使用超级巡警安装uusee临时漏洞补丁,或者安装畅游巡警防御利用uusee漏洞的木马.
2、直接卸载UUsee,安装QQlive等其他网络电视。
三、总结:
近期,uusee网络电视获得了央视颁布的悠视网经正式授权,成为指定奥运赛事P2P直播媒体。而从08年安全信息界的种种迹象表明,奥运会期间的网络安全问题不容懈怠。希望uusee官方能够正视问题,积极解决。
Posted by Hacker on 06月 18, 2008
上海电信公司:故障已找出并登出“治病”公告
据上海电信有关方面昨天表示,从本月13日开始,宽带用户开始比较多地出现断网故障,公司的故障受理部门陆续接到不少ADSL用户反映,在使用ADSL上网一段时间后会发生网络中断,拨号工具同时出现锁死以及无法响应的故障现象。上海电信方面没有透露受影响的用户数量。
上海电信有关人士透露,经技术人员现场检测分析,发现此类故障集中发生在使用WindowsXP操作系统及WindowsXP自带的PPPoE拨号软件的系统环境下。
发生断网前,XP操作系统可能会弹出“GenericHostProcessforWin32Services”的错误提示信息。“发生断 网的原因,是由于微软WindowsXP存在某个安全漏洞,被病毒利用攻击。”上海电信故障报修台的工作人员介绍说,微软已经发布了针对该漏洞的补丁程 序,用户给自己的电脑打上这个补丁,断网的故障便可以排除。 Read more »
Posted by Hacker on 06月 18, 2008
去年,灰鸽子、熊猫烧香、磁碟机等一系列病毒不断爆发,扰乱了当前互联网的安宁。而据美国安全机构的一份统计报告显示2008年的网络安全威胁中, 各种新型网络钓鱼技术的增强、使得Botnet (僵尸网络)愈发泛滥。而在这背后是蕴含着巨大的经济利益,一个具有低成本、系统化的黑色产业链已经逐渐形成,互联网及个人电脑安全岌岌可危。
最深藏不露的“画皮”钓鱼技术愈发泛滥
安全专家分析称,网络钓鱼的安全威胁背后隐藏了一种越来越流行的被称为“画皮”技术和工具包。“画皮”是一种复杂的技术框架,用于帮助犯罪分子制造和实施网络钓鱼攻击,他们非常认真地能够希望欺骗网民并且隐藏钓鱼网站,利用僵尸网络的方法来保持钓鱼网站的长期有效性。
国际组织反钓鱼工作组在数字犯罪研究者峰会上报告说,“画皮”已占钓鱼攻击的近一半。反钓鱼工作组还指出如果真正完全使用快速潮水的技术,那么钓鱼网站会存活更长的时间并攻击更多的用户。
有迹象表明,“画皮”一般都涉及到同一个网络域名的几个不同的子域,而服务器大多数都在亚洲,特别是我们中国。举一个生动的假设例子:“被画皮的网 站可能设在北京,使用浙江的网络服务提供商,而操纵者可能在上海。安全专家和相关法律部门不能在第一时间快速封锁,这样你在玩魔兽的时候就已经被“画皮” 了,那么你的个人信息及游戏装备就已经落入操纵者手中。”也正是由于这些原因,有人用1995年老片《非常嫌疑犯》中凯文 史派西扮演的深藏不露的反派角色来形容岩钓这类恶意威胁。
然而在中国国内,互联网的安全问题形势也非常严峻,相较于国外只有过之而无不及。据国家计算机网络应急技术处理协调中心的评估数据显示,在全球的 620万台僵尸电脑中,约有360万台在中国,已经占到了58%以上。如果这些僵尸电脑同时发起攻击,其后果将不堪设想。中国在成为世界上网民最多的国家 的同时,也就成为了僵尸电脑最多的国家,还有可能成为网络安全的重灾区。 Read more »
Posted by Hacker on 06月 16, 2008
德国、美国、英国、法国政府部门的网站接连受到黑客攻击,而多个外国媒体的报道认定黑客“来自中国”,甚至“中国军方”。为此,本报特地采访美国、英国、德国有关部门、机构和专家,试图追寻事件的真相。
“德国情报机关指中国军方是攻击的幕后主使的说法不太可靠。
他们的推测逻辑也许就是这样:计算机专家追踪到了木马程序的源头并发现它们来自中国的一些城市,然后看到这些城市有一些部队的驻地,于是估计这些攻击者来自中国军方。”
——德国专业杂志《CT》副总编辑耶尔格·库里
“最骇人听闻的行动”
8月26日,德国总理默克尔出访中国。同一天上市的德国杂志《明镜》封面上,一个黄色面孔的人从幕后向外窥探,封面故事标题颇为抢眼:黄色间谍。
报道指责在德国发生的越来越多的工业间谍活动与中国有关。文章援引德国有关部门消息称,经济部门、联邦总理府和三个政府部门的计算机系统被来自中国的木马病毒感染,而且这一黑客行动是有组织的,矛头直指中国政府。
9月3日,英国《金融时报》披露,五角大楼承认曾在6月遭到迄今为止最严重的黑客攻击,被迫关闭了包括美国国防部长盖茨办公室的电脑系统。报道中,一个匿名的某高级政府官员称:“极有可能与中国人民解放军有关。”
两天后,英国《卫报》报道称,根据英国首相办公室的消息,包括外交部在内的多个政府部门曾遭到来自中国的黑客袭击。
9月8日,法国《世界报》引述法国国防秘书长德隆说,法国政府的电脑网络也曾遭中国黑客入侵。
英国皇家联合研究所亚洲安全项目负责人、中国问题专家阿列克谢·尼尔称,中国的黑客攻击已经持续了“至少4年”,而“中国黑客攻击美国国防部网络的事件,是迄今为止最大胆、最骇人听闻的行动”。他认为这是中国军方在彰显实力。 Read more »
Posted by Hacker on 06月 13, 2008
前几天逛了逛死党的个人Blog,我的卡巴立马发出病毒警告,显然就是网页木马。个人感觉死党本人挂马不怎么可能,他的blog浏览量还算不错,怎么可能砸掉自己的招牌?后来在QQ上 询问他,原来是某个无聊的家伙入侵他的网站并且挂了网页木马。在经过一阵紧急处理后,Web方面的漏洞算是修补好了后来再次来到Blog,发现居然又被人 挂了马,看来这家伙留了一手.赶紧联系朋友,正巧他也发现了这个问题,并且顺利找到了这家伙的aspshell。刚好我在绿盟上浏览漏洞公告,无意中发现 一个好东西,赶快叫朋友对这个aspshell“手下留情”,看咱如何惩治这个入侵者。
利用漏洞戏弄入侵者
绿盟关于该漏洞的描叙是:“MicrosoftWindows的MSHTML.DLL在解析特制HTML时存在拒绝服务漏洞,远程攻击者可以通过诱骗用户访问特制的HTML页面导致IE崩溃。”同时也给出了漏洞的利用代码。这个漏洞已经出来了一些时日,可能大家觉得它的利用价值不高,很少有人注意到。也正是这种不重视的心态,导致微软方面至今都没有给出该漏洞的相关补丁。该漏洞的利用代码如下:
Read more »
Posted by Hacker on 06月 12, 2008
Arthack今日提醒您注意:在明天的病毒中“Real蛀虫”变种、”垃圾虫”变种、“avp杀手”和“机器狗变种”都值得关注。
一、明日高危病毒简介及中毒现象描述:
◆“Real蛀虫”变种ac运行后,内嵌在正常网页中,如果用户计算机没有及时升级修补Real Player媒体播放器相应的漏洞补丁,那么当用户使用浏览器访问带有“Real蛀虫”变种ac的恶意网页时,就会在当前用户计算机的后台连接骇客指定站 点,下载大量恶意程序并在被感染计算机上自动调用运行。其中,所下载的恶意程序可能为是网游木马、恶意广告程序、后门等,给用户带来不同程度的损失。
◆“垃圾虫”变种b运行后,修改注册表,实现网络蠕虫开机自动运行。在被感染计算机的后台搜索有效的邮箱地址,利用被感染的计算机群发垃圾邮件、广 告邮件,邮件信息是随机的自定义信息。另外,“垃圾虫”变种b还会在被感染计算机系统的后台访问一系列指定站点,搜索站点中有效的邮箱地址,然后向其搜索 到的所有有效地址发送大量垃圾信息、广告邮件。
◆“avp杀手”病毒为蠕虫病毒,病毒运行后,获取本地时间,病毒通过调用Process32Next函数遍历进程搜索”AVP.EXE”安全软件 进程,如果存在则把系统时间修改成2001年5月, 目的使卡巴主动失效,创建注册表病毒服务项、映像劫持多款安全软件,目的使系统安全性降低,查找svchost.exe进程,通过 GetProcessMemory函数读取内存空间,查到该进程后申请内存空间并创建进程,连接网络下载大量恶意文件并运行,给用户清除病毒带来极大的不 便。
◆“机器狗变种”病毒为下载者木马类,病毒运行后衍生ctfmon.exe到%Windir%目录下,测试是否能访问www.google.cn或www.baidu.com, 如能访问则连接网络读取列表下载大量恶意文件,并调用ShellExecute函数打开该病毒文件,判断当前进程里是否存在 BKPCLIENT.EXE(贝壳磁盘保护)进程,不存在写驱动穿以下还原及安全系统,GUARDFIELD.EXE(360还原保护器)、 BARCLIENTVIEW.EXE(网维大师)、FRZSTATE2K.EXE(冰点还原精灵)、QZCLIENT.EXE(网吧系统防护程序), 将%Windir%目录下的Explorer.exe复制到%System32%目录下,之后将Explorer.exe进程结束后加 载%System32%目录下的Explorer.exe,并感染%Windir%目录下的Explorer.exe文件,该病毒调用 IsDebuggerPresent检测反调试器,如发现反调试器则调用shutdown函数立即执行关闭计算机操作,病毒运行后创建emsf3.bat 文件并调用其删除自身。 Read more »
Posted by Hacker on 06月 9, 2008
最近!木瓜的Windows XP系统可称得上是一个“毒窝”了,不仅有木马程序“潜伏”,各类恶意插件也在其中死缠烂打。
而造成这种情况的主要原因就是给予了登录帐户和上网者过多的使用权限,使木马和插件能够堂而皇之的出入系统。
所以,要想有效的加强系统安全,就要在帐户权限上加以限制。
步骤一:建立受限帐户
打开“运行”对话框,在其中输入命令“net user xiaoyao 123456 /add”,回车执行后,
即可在系统中添加一个名为“xiaoyao”的新帐户,密码为“123456”。
用“net user”命令添加的新帐户,其默认权限为“USERS组”,所以只能运行许可的程序,
而不能随意添加删除程序和修改系统设置,这样便可避免大部分的木马程序和恶意网页的破坏。
步骤二:金蝉脱壳 加固IE
恶意网页是系统感染木马病毒及流氓插件的最主要途径,因此很有必要对IE作一些保护设置。 Read more »
Posted by Hacker on 06月 5, 2008
前言:警惕那些挂着免费旗号,实际上有免费期限或者功能限制的杀毒软件。某些下载网站为了获取流量,往往强调某某杀毒软件完全免费无限制,下载使用几个月后发现试用期已过,或者下载后发现干脆只能查毒不能杀毒。它们实质是用钓鱼方式欺骗用户的收费杀软。以下推荐几款真正免费的杀毒软件。先说说菜鸟们用免费杀毒软件最关注的两个问题:
1、免费杀软比收费杀软差很多么?
网络中一直流传着一种观点:出品免费杀毒软件公司规模小、技术落后、不正规,售后服务能力差。其实这是带有误导性的片面之词,曾排名世界第一位的捷克的杀毒软件AVAST,或者是来自德国的大名鼎鼎的“红伞”,这些世界顶尖公司的杀毒软件对非商业用户都是免费的。实质上免费的杀毒软件商更注重技术研发、也更具有市场魄力。它们放眼于企业级高端用户或策划面向未来的盈利模式,把投资用于技术,看重用户的体验性,目的是让更多的人安装免费软件,实际上是一种长远“投资”。比如国内的“360安全卫士”、“超级巡警”。虽然免费却都有着不错的口碑和广泛的忠实用户。反而恰恰是一些收费软件,明知到免费是大势所趋,却报着“捞一把”就走的心理,把大量投资用于铺天盖地的传统广告,实际杀毒能力却不敢恭维。再者如今机器硬件性能提高,免费的杀软一般占用资源比较小,而且都有不占资源的绿色版。多安装几款免费的杀软,其杀毒效果也会匹敌甚至超过正版杀毒软件。
2、选择收费软件的破解版怎么样? Read more »
Posted by Hacker on 06月 4, 2008
ArtHacker今日提醒您注意:在今天的病毒中TrojanDownloader.Losabel.ar“露萨”变种ar和TrojanDownloader.JS.Agent.hw“代理木马”变种hw值得关注。
病毒名称:TrojanDownloader.Losabel.ar
中 文 名:“露萨”变种ar
病毒长度:38912字节
病毒类型:木马下载器
危险级别:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Losabel.ar“露萨”变种ar是“露萨”木马家族的最新成员之一,采用Delphi语言编写,并经过加壳处理。“露萨”变种ar运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,重命名为“vistaAA.exe”,自我复制到“%SystemRoot%\system32\config\systemprofile\”目录下,重命名为“vistaAA.exe”。修改注册表,实现“露萨”变种ar开机自动运行。启动IE浏览器程序(IEXPLORE.EXE)并将病毒代码注入其中运行,隐藏自我,躲避某些安全软件的查杀。在被感染计算机系统的后台秘密监视正在运行的进程名和活动的窗口标题,一旦发现某些安全软件程序正在运行,马上强行将其关闭。可能会破坏注册表,致使用户无法运行资源管理器以及注册表编辑器等程序。在被感染计算机系统的后台连接骇客指定站点,获取恶意程序的下载地址列表并下载所有恶意程序。其中,所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等,给用户带来不同程度的损失。另外,“露萨”变种ar执行安装程序完毕后会将自身属性设置为“系统隐藏”以更好地隐藏自我。 Read more »
