30
11月
这是一个结合了机器狗,AV终结者和利用MS08067漏洞攻击的复合型下载者病毒。近几天非常流行,并且预计该病毒在近期会成泛滥之势,希望大家注意!
这个NS下载器继承了机器狗病毒穿还原卡的功能;利用ARP攻击在局域网传播;同时,病毒还有扫荡波的特点,攻击没有修补08-067号漏洞的windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。
以下是该病毒的某一变种的分析:
1.病毒运行后,会调用检测是否有调试器存在
并遍历是否存在ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe,OllyICE.exe,OllyDbg.exe等进程,如果是则自身退出。
2.停止如下服务Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
3.之后生成如下文件:
%temp%\dll???.dll(???为随机数字)
4..Dll??.dll注入到svchost.exe中,并创建远程线程。(之前会获得系统时间,如果系统年份大于2008则不注入svchost.exe)
Dll??.dll注入svchost.exe后有如下行为:
这个NS下载器继承了机器狗病毒穿还原卡的功能;利用ARP攻击在局域网传播;同时,病毒还有扫荡波的特点,攻击没有修补08-067号漏洞的windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。
以下是该病毒的某一变种的分析:
1.病毒运行后,会调用检测是否有调试器存在
并遍历是否存在ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe,OllyICE.exe,OllyDbg.exe等进程,如果是则自身退出。
2.停止如下服务Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
3.之后生成如下文件:
%temp%\dll???.dll(???为随机数字)
4..Dll??.dll注入到svchost.exe中,并创建远程线程。(之前会获得系统时间,如果系统年份大于2008则不注入svchost.exe)
Dll??.dll注入svchost.exe后有如下行为:
25
11月
病毒名称:Worm.Win32.AutoRun.dbp
病毒类型:蠕虫
文件MD5:A1AF3D5C37035B3D0AC5969F01FD0C7A
公开范围:完全公开
文件长度:85,504 字节
感染系统:Windows98以上版本
开发工具:Microsoft Visual C++
加壳类型:ASPack 2.12 -> Alexey Solodovnikov
病毒描述:该病毒为蠕虫类病毒,病毒运行后,获取KERNEL32.DLL基址,动态获取API函数、创建一个:Height=1 Width=1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏,修改进程权限、创建注册表病毒服务、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数打开一个网页链接,将创建的对话框设置为最小化,调用函数向该对话框传递消息,驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉。
行为分析-本地行为
1、获取KERNEL32.DLL基址,动态获取API函数、CreateDialogParamA创建一个MoveWindow:Height = 1 Width = 1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏。
2、文件运行后会释放以下文件
%system32%\Drivers\sudami.sys
3、修改进程权限、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数ShellExecuteA打开一个网页,将创建的对话框设置为最小化,调用函数向该对话框传递消息。
4、驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉,被遍历的安全软件进程及名字有:
病毒类型:蠕虫
文件MD5:A1AF3D5C37035B3D0AC5969F01FD0C7A
公开范围:完全公开
文件长度:85,504 字节
感染系统:Windows98以上版本
开发工具:Microsoft Visual C++
加壳类型:ASPack 2.12 -> Alexey Solodovnikov
病毒描述:该病毒为蠕虫类病毒,病毒运行后,获取KERNEL32.DLL基址,动态获取API函数、创建一个:Height=1 Width=1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏,修改进程权限、创建注册表病毒服务、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数打开一个网页链接,将创建的对话框设置为最小化,调用函数向该对话框传递消息,驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉。
行为分析-本地行为
1、获取KERNEL32.DLL基址,动态获取API函数、CreateDialogParamA创建一个MoveWindow:Height = 1 Width = 1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏。
2、文件运行后会释放以下文件
%system32%\Drivers\sudami.sys
3、修改进程权限、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数ShellExecuteA打开一个网页,将创建的对话框设置为最小化,调用函数向该对话框传递消息。
4、驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉,被遍历的安全软件进程及名字有:
23
11月
好多次碰到下载rar等的压缩包下载不完,最后尝试数次不能下载,最后也没想过要修复提取什么的,某天泡网看到一方法,下面收录了放出来,希望能帮到其他的朋友,嘎嘎。
方法:
用WinRAR软件修复
①打开WinRAR,从地址列表中选中已损坏的ZIP(rar)文件。然后用鼠标点击工具栏上的“修复”,在弹出的对话框中选择修复后文件的存放路径。
②选择好路径后,点击“确定”,WinRAR就开始修复受损的ZIP(rar)文件,并显示修复的全过程。
③单击“关闭”按钮,进入修复文件的存放目录,你会发现在该目录下新增了一个“_reconst.rar”或“_reconst.zip(rar)”文件,它就是修复好了的文件。
解压缩。。看看是不是有很多文件 都OK了。。。
From:teyqiu's BLOG
方法:
用WinRAR软件修复
①打开WinRAR,从地址列表中选中已损坏的ZIP(rar)文件。然后用鼠标点击工具栏上的“修复”,在弹出的对话框中选择修复后文件的存放路径。
②选择好路径后,点击“确定”,WinRAR就开始修复受损的ZIP(rar)文件,并显示修复的全过程。
③单击“关闭”按钮,进入修复文件的存放目录,你会发现在该目录下新增了一个“_reconst.rar”或“_reconst.zip(rar)”文件,它就是修复好了的文件。
解压缩。。看看是不是有很多文件 都OK了。。。
From:teyqiu's BLOG
20
11月
作者:清新阳光 ( http://hi.baidu.com/newcenturysun)
日期:2008/03/29 (转载请保留此声明)
PS:在某人blog发现此病毒分析文章,因为病毒有点早了,但是分析中写到的部分病毒运行方式的技巧不可多得,于是收藏学习,也许还会帮到某人捏。O(∩_∩)O
这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标,映像劫持杀毒软件...
1.病毒启动后,释放如下文件或者副本
%systemroot%\system32\soleboy.exe
%systemroot%\system32\soleboy.txt
各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。
2.试图结束一些安全工具的进程
比如procexp.exe
U盘病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...
日期:2008/03/29 (转载请保留此声明)
PS:在某人blog发现此病毒分析文章,因为病毒有点早了,但是分析中写到的部分病毒运行方式的技巧不可多得,于是收藏学习,也许还会帮到某人捏。O(∩_∩)O
这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标,映像劫持杀毒软件...
1.病毒启动后,释放如下文件或者副本
%systemroot%\system32\soleboy.exe
%systemroot%\system32\soleboy.txt
各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。
2.试图结束一些安全工具的进程
比如procexp.exe
U盘病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...
27
10月
这段时间挺忙的,也没顾上时间写东西,没时间打理blog,昨天上去一看谷歌广告的点击情况惊奇坏了,一看流量统计差点没晕过去,是以前的百分之一左右,怎么会这样的,查详细的情况发现谷歌带来的流量几乎是没的,速度的去站长工具那查查收录情况和GR,彻底晕了。
看着以前是3的GR值现在被降为0,彻底无语。看看收录情况这明显是被谷歌给K了,可是想想我的站也没什么明显禁止的东西,百度的到是没这类情况,去查查原因,具别人说谷歌一般不会K个人站点,何况我的只是小blog而已,去翻翻blog的后台看有没的什么问题,在插件那一栏看到googleping的字样,记得好像这是官方论坛发出的一个插件,我知道的还算早,该插件安装好以后,在发布日志的同时会使用google blogsearch的API接口向其发送ping消息,在大约5分钟内,google spider即会来抓取页面,10分钟内会同步至google的数据库,也就是说在10分钟内,一篇新的日志就会被收录,对seo来说是非常实用的插件,,汗,就是没想到这点,估计被当作是作弊了,想想小blog也真是多灾多难的,刚开始用的免费的cn玉米,GR到了3的时候到期了,自己也不想用了,因为续费太贵,跟国际玉米一个价格,想想自己也不是为赚钱的,不需要在乎,再说好像换了玉米GR也是可以更新的,后来换了也没更新,过了两个月左右的成了2,后来又成了3,现在被降为0,真是郁闷,没的搜索引擎的流量,这类的小blog几乎流量不多,当然广告也就没什么了,虽然还有百度大叔在,还是不成,想想也郁闷,打算从今天起先撤下所有的广告,包括谷歌和百度的,可以减轻主机的负担,加快浏览速度。在想办法让谷歌解封吧,不知道成不成功了,汗!
日志写完一个小时后我找到了google的站长工具那里已经将使用插件的情况说明,请求重新审核,汗,不知道结果是怎么样的,这又是一个漫长的等待过程,希望能一切顺利吧。
看着以前是3的GR值现在被降为0,彻底无语。看看收录情况这明显是被谷歌给K了,可是想想我的站也没什么明显禁止的东西,百度的到是没这类情况,去查查原因,具别人说谷歌一般不会K个人站点,何况我的只是小blog而已,去翻翻blog的后台看有没的什么问题,在插件那一栏看到googleping的字样,记得好像这是官方论坛发出的一个插件,我知道的还算早,该插件安装好以后,在发布日志的同时会使用google blogsearch的API接口向其发送ping消息,在大约5分钟内,google spider即会来抓取页面,10分钟内会同步至google的数据库,也就是说在10分钟内,一篇新的日志就会被收录,对seo来说是非常实用的插件,,汗,就是没想到这点,估计被当作是作弊了,想想小blog也真是多灾多难的,刚开始用的免费的cn玉米,GR到了3的时候到期了,自己也不想用了,因为续费太贵,跟国际玉米一个价格,想想自己也不是为赚钱的,不需要在乎,再说好像换了玉米GR也是可以更新的,后来换了也没更新,过了两个月左右的成了2,后来又成了3,现在被降为0,真是郁闷,没的搜索引擎的流量,这类的小blog几乎流量不多,当然广告也就没什么了,虽然还有百度大叔在,还是不成,想想也郁闷,打算从今天起先撤下所有的广告,包括谷歌和百度的,可以减轻主机的负担,加快浏览速度。在想办法让谷歌解封吧,不知道成不成功了,汗!
日志写完一个小时后我找到了google的站长工具那里已经将使用插件的情况说明,请求重新审核,汗,不知道结果是怎么样的,这又是一个漫长的等待过程,希望能一切顺利吧。
