最近我上网以后系统运行就特别缓慢,请朋友帮我检查后得知,应该是有大量数据在后台下载造成的。朋友建议我杀毒,可启动杀毒软件没有任何反应,这时朋友告诉我上安全论坛求助试试。上网后,浏览器默认打开了谷歌首页,朋友说这种现象不对头,果然我进入安全论坛后窗口马上被关闭。请问医生,这到底是怎么回事?我的系统中了什么病毒?
是我修改你的首页
SSDT中文名词是“系统服务描述符表”。大量的安全工具都是通过它在系统内部改变程序的运行规则,从而使程序出现可疑行为时,安全软件会对用户进行警告。
嘻嘻,我坦白,是我干的!记住我的名字:大水牛下载者。我是一款结合了木马、流氓软件特点的下载病毒。当我通过网页木马等方式进入到用户系统以后,首先会在系统目录释放出多个病毒文件,并且在所有的驱动器下创建Autorun.inf 和Nwizs.exe,从而让用户双击磁盘就中招。
接着,我的主文件Nwizs.exe会修改系统注册表,添加到启动项里面,从而实现开机后随机启动,并且用户无法看到病毒文件和相应的注册表键值。另外,Nwizs.exe还会进行IFEO 映像劫持、破坏注册表隐藏键值、定时悄悄地弹出窗口,并且还设置IE浏览器起始页,默认设置的是谷歌的首页。
然后,我会创建两个Svchost.exe进程来运行自己。由于在正常系统中会同时存在多个Svchost.exe进程,这样就具有很强的迷惑性,普通用户无法判断该终止哪个进程。wWw.ItCoMpUTEr.cOm.cn在系统的临时目录里面,还会释放一个5 位字符组成的随机名的.tmp 文件,利用它来替换加载的%SystemRoot%\system32\drivers\Beep.Sys。这样就可以在无系统提示的情况下,悄悄覆盖系统的SSDT表,从而让系统中具有主动防御的杀毒软件失效。
最后,我会插入到进程Iexplore.exe中,查找并关闭杀毒软件的进程。同时关闭带有关键字的窗口,关键字包括金山毒霸、江民等。入侵活动进行得差不多了,我就会从网络中下载其他病毒。
看我庖丁解“牛”
我来了!有我在,大水牛病毒你还能猖狂?看我如何把你解剖了。
第一步:首先断开计算机网络,截断病毒和外界连接的途径。打开命令提示符窗口,输入命令:Nwizs.exe -clear(见图)。该命令可以让病毒的自我保护功能立刻消失,这样为后面的清除铺平了道路。大约等上一分钟就可以了,然后启动SREng,点击SREng主窗口“启动项目”按钮,选中“注册表”标签删除那些红色的项目,这些都是被映像劫持的内容。
第二步:在开始菜单中的“运行”中输入Regedit,从而打开系统的注册表编辑器。依次展开到HKEY_CURRENT_USER\Software\Microsoft\DsNiu\InjectDown V3.5-V,会在窗口中发现“”PID1“=”和“”PID2“=”两项内容,其中PID1和PID2分别对应伪造的Svchost.exe的PID。运行《冰刃》后点击工具栏中的“进程”按钮,分别结束PID1和PID2指向的两个Svchost.exe进程。
第三步:重新启动系统,点击“文件夹选项”命令,选取其中的“显示隐藏文件或文件夹”和清除“隐藏受保护的操作系统文件(推荐)”前面的钩。然后搜索System32目录中的Hook_nwizs.Dll和Nwizs.Exe文件,以及各个磁盘分区下的Nwizs.exe 和Autorun.inf文件,找到以后将它们删除就可以了。
如何利用cookies入侵网站
在抽一支烟的时间里可以做很多事,包括杜金目前所思考的事情。在他所从事的商业领域中,能够与其抗争的公司并没有几家。由于行业透明度不高,导致非常规手段经常出现在竞争中,为了顺利“拿下大客户,有时需要使用一些“特殊策略”。
其实杜金并不在乎丢掉这几个客户,毕竟这一切他已经司空见惯了,他也有办法拿下更多的订单来弥补损失,然而他必须要搞清楚这些原本已经十拿九稳的客户为什么会丢掉,因为这几家客户一直是他亲自跟进的,最终的报价也只有自己知道,甚至连他最得力的助手都不得而知,但竞争对手好像对每件事都了如指掌,自己做每一件事好像都有一双眼睛在背后死死地盯着,这种状况近半年来最为明显。长久的思考后,杜金脸上露出了浅浅的微笑。他拿起手中的电话拨通了一个神秘的号码。
高薪雇用的黑客K在杜金的指引下登录了商业对手的公司网站,发现网站程序为ASP程序之后,黑客K开始用传统的NBSI、Domain之类注入工具疯狂扫描该网站,但是经过一番折腾之后没有寻觅到任何的漏洞,显然该公司的网站做了一些防注入的工作。
黑客K不得已用手工测试寻找漏洞。终于功夫不负有心人,在这个网站的一个子栏目中,当黑客习惯性的在网址后面输入了一个单引号之后,页面弹出了一个警告窗口,上面提示输入了错误的参数。根据经验,黑客K判断出这家公司网站用了一个粗糙的防注入手段。网站显然只检查了Request中GET方式所提交的变量,明显忽略了POST和Cookies,黑客K非常清楚,这意味着这个商业网站很可能存在一个Cookies注入漏洞。
小知识: Request函数获取客户端提交数据常用的是GET和POST两种方式(Get是用来从服务器上获得数据,而POST是用来向服务器上传递数据),由于Request函数在使用时通常不会定义如何提取数据,因此在没有做详细设定时它依次先取GET中的数据,如果没有再取POST中的数据,最后还会提取Cookies中的数据。Cookies是保存在用户自己电脑中的一个文本文件,用户可以随意窜改,这样一来黑客就可以利用Request.cookies方式来提交窜改后的变量值,进行注入攻击。
黑客K返回刚才的网址http://www.sanguoyanyi.com/sanguoyanyi.asp?JiangjiaID=123,在刷新页面后将浏览器地址栏中的网址全部删除,然后再在浏览器地址栏中输入javascript:alert(document.cookie="JiangjiaID="+escape"("123 and 1=1"))就可以修改Cookies中的数值。
修改完成后通过访问http://www.sanguoyanyi.com/sanguoyanyi.asp,发现网页返回正常,随后再一次清空浏览器地址栏,并输入javascript:alert(document.cookie="JiangjiaID"="+escape"("123 and 1=2")),返回的数值结果说明变量的值已经被成功地修改了,网站存在Cookies注入的漏洞(图1)。
利用Cookies成功侵入网站
判断出网站可以Cookies注入后,黑客K开始谋划入侵网站。黑客K在自己的硬盘中“翻箱倒柜”地找出了一款名为《注入中转生成器》的黑客工具。打开软件后,黑客K首先在“注入键名”处填入变量“JiangjiaID=”,在“注入URL地址”中填入存在Cookies注入点的网页地址http://wwww.sanguoyanyi.com/sanguoyanyi.asp(图2),在“来源页”中再一次重复输入上面那个地址。完成上述操作后,选择软件右边的“Cookies注入”,最后点击“生成ASP”,软件提示生成了一个JmCook.asp文件。
此时虽然完成了入侵该网站最重要的一个环节,但是还必须在本地开启IIS服务,搭建能够解析ASP语言的服务环境,这样才能够真正地获取自己想要的东西。点击控制面板中“添加/删除 Windows组件”按钮,在弹出的“Windows 组件向导”中找到“Internet信息服务(IIS)”,在勾选添加安装后,黑客K将JmCook.asp这个文件复制到了IIS指定的wwwroot文件夹中。
然后打开《啊D注入工具》,将http://127.0.0.1/jmcook.asp?jmd cw=123这个网址复制进《啊D注入工具》的地址栏中,再一次扫描检测过后,网站后台的管理员用户名和密码此时全部浮出了水面(图3)。
应对Cookies注入最简单的方法就是运用ASP中的Request函数时(主要是用来读取客户端浏览器的数据),不要直接就是ID=Request("ID"),最好改成Request.QueryString (GET)或Request.Form (POST)。这样Request函数就不会读取Cookies了,也就不能被黑客利用了。
黑客K淡然一笑:“成功了,很简单嘛!”又定了定神,调出《啊D注入工具》扫描后台,大约不到3分钟时间,就得到了网站的后台地址。接下来就准备登录管理员后台,上传网页木马然后获取Webshell,找到敏感数据就只是时间问题了……
天下搜索工具条如何卸载 近日,我们接到不少读者发来的举报邮件,反映一个名为《天下搜索工具条》(http://iebar.t2t2.com)的网页频繁弹出,强制安装其工具条,一旦安装成功浏览器即被劫持,极难卸载,并弹出不少广告网页。
根据用户提供的线索,我们对该网站展开了调查,打开http://iebar.t2t2.com后,一个介绍《天下搜索工具条》的页面呈现在眼前,自称使用该工具条可让你随时随地使用Google、百度、新浪等多种搜索引擎,这似乎与常见的工具条并无区别。
就在此时,杀毒软件报警提示该页面企图下载安装一名为“iebar.cab”的压缩包,非常可疑。将它下载解压进行检测,发现安装包中的iebar23.0.dll竟是一个间谍程序,难怪杀毒软件会报警。这让我们顿生疑心,搜索相关网页后发现此工具条颇有些“历史”。早在三年前的流氓软件混战时代就曾“战功赫赫”,沉寂一段时间后近期又再度兴风作浪。我们进入该网站的留言板,发现里面有许多网民的声讨留言,可谓恶行昭著。
随着调查的深入,我们发现此《天下搜索工具条》与“天下搜索”网站并没有什么关系,只是盗用了后者的名号,倒是种种迹象表明这与一业内老牌广告联盟——太极链存在千丝万缕的关系。
首先,输入iebar.t2t2.com的主域名www.t2t2.com网页随即跳转至太极链旗下的太极网(t2t2.textclick.com)。其次,该站多个链接均指向太极网。由此可以断定此工具条程序正是太极网推出的间谍软件,它被用到劫持用户浏览器恶意推广。
此外,部分个人站长来信反映网站被挂病毒,经分析发现他们的网站出问题与远程调用http://iebar.t2t2.com/test1.htm页面有关,而这些网站都曾使用过太极链的某些产品。
至此,整个事件已水落石出,我们对太极链的这种恶意行为感到愤慨,希望其能清醒地认识到此举造成的严重性,尽快去除恶意行为,还网络一片纯净。为了阻止该间谍软件进一步传播,本期HOSTS反黑文件已屏蔽此站,请大家下载更新。已被强行安装此工具条的用户可使用《Windows清理助手》或其他工具清理。
小新点评:近段时间以来,多个知名统计网站都相继出现统计代码嵌入病毒或间谍软件的事件,波及到上万使用这些统计系统的个人网站,影响十分恶劣。在此,奉劝那些监守自盗的统计网站切莫因小失大,丢了用户也就丢了一切。
From:http://www.itcomputer.com.cn/Article/Network/201309/143.html