最近有个网友通过QQ给我发了一个网页链接,因为QQ给这个链接显示了绿色盾牌,因此就直接点击,可是隔天上网后发现我的游戏装备被盗了。于是把这件事给同事说了,他感到很惊讶:“你的杀毒软件有主动防御功能,正常情况下当木马向系统或注册表添加信息的时候,主动防御都会弹出相应的提示窗口,难道你的杀毒软件没有任何提示吗?”
在检查了我的电脑后,他告诉我主动防御没有报警的记录。此外在进程管理器中他发现svchost.Exe进程老是向外发送数据。请问医生,这木马是怎么进入我电脑中的?我该怎么清除它?
病毒自述:我的眼中没有主动防御
我是一匹孤独的红狼,近期在网上独自作案。没错,就是我害的你,记住我的大名——“红狼远控”,帅得能绕过主动防御的“狼”!
由于我本身属于一款木马程序,因此主要还是通过网页木马、文件捆绑等方式来进行传播的。当我进入到远程用户的系统中后,首先自动恢复Windows系统的SSDT,这样就可以保证杀毒软件的主动防御立刻失效。接着我们自身会释放一个svchost.Dll文件到系统中的System32目录里面。
小提示:SSDT中文名为“系统服务描述符表”,杀毒软件的主动防御功能,就是通过它来改变程序的运行规则,从而对程序的可疑行为进行判断和警告的。
然后svchost.Dll文件会自动插入到svchost.Exe进程中,从而利用这个进程来连接远程的客户端程序,此外还会在系统服务中添加一个新的服务,便于以后我随机启动。WWw.itCOmpuTeR.com.cN当连接成功以后就可以通过客户端程序进行文件管理、桌面查看、键盘记录等操作。
我的键盘记录功能可以记录各种各样的账号和密码信息,还支持离线键盘消息记录,这样当连接成功后就可以立即查看不在线时用户的键盘操作。
本期医生:杀破这只“狼”
这个木马虽然能绕过主动防御,但并不是消灭不了它,下面我就教大家如何清除这个可恶的木马。
第一步:首先运行安全工具WSysCheck(软件下载地址:http://www.cpcw.com/bzsoft),点击“进程管理”标签,在进程列表找到一个粉红色的svchost.Exe进程。由于木马采用了进程保护措施,通过常见的进程结束命令行不通,因此选择右键菜单中的“禁止选择的程序运行”命令(图1)。
第二步:这时系统可能会出现假死等不稳定的情况,不过重新启动一下系统就可以了。接着点击程序的“服务管理”标签,从服务列表中找到一个名为IPRIP的服务,这就是“红狼远控”的启动项。点击右键菜单中的“删除选中的服务”命令即可将它清除(图2)。
第三步:然后点击程序的“文件管理”标签后,在程序模拟的资源管理器窗口中,来到Windows系统中的System32目录。找到“红狼远控”的服务端文件svchost.Dll后,点击右键菜单中的“直接删除文件”命令就能将木马彻底清除(图3)。
最后大家还需要重新安装一次杀毒软件,这样主动防御功能才会重新启用。另外提醒大家一定要加强自己的防范意识,不要随意地点击其他人发来的网络链接,因为这些可能就是插入了网页木马的链
如何防止网络游戏假客服
恶意网站特征:假冒《跑跑卡丁车》官方客服,发送用户中奖信息。中奖活动时间不断在变化。
恶意网站目的:以"万元大奖和名牌笔记本"为诱饵,向"系统抽取"的"幸运玩家"骗取钱财。
最近接到很多读者举报,在玩《跑跑卡丁车》游戏的时候经常收到一些所谓的"系统消息",消息中以用户被抽中为"幸运玩家"为诱饵,诱骗玩家到一些所谓"活动网址"办理领奖手续,来大肆骗取"领奖手续费用"。
按照玩家提供的线索,我们在《跑跑卡丁车》官网注册了一个新号,没玩多久"道具赛"就收到一个ID名为"系统消息102"发送的"中奖信息"(如图)。我们打开其中的http://www.sjpo.cn,网站马上自动跳转到http://pokc.vip.vowoo.com/pop/的网址。打开网站页面后,首先我们看到的是网站的图案、颜色、风格与"世纪天成"的《跑跑卡丁车》官网基本一样,尤其是网站的上半部分,模仿逼真,很难让人看出真假。
首先,我们进入"信息产业部ICP/IP地址信息备案管理系统",输入网站上的ICP备案号进行查询。由于是盗用"世纪天成"的ICP编号,因此该备案号确实存在,但是查询结果里面的三个网址都没有http://www.sjpo.cn。
为了进一步确认我们的推断,我们使用收到的验证码登录网站,接受"奖品领取协议"后,系统为我们产生了一个"幸运码",并出现了我们获得"索尼公司提供的28000元奖金和价值9988元的索尼笔记本一部"的信息,然后系统要求我们填写领奖详细资料。
网站还要求获奖用户必须承担"本次活动获得的奖金和奖品办理手续费用"共计850元人民币,并且承诺可以在获奖者收到颁发的奖金、奖品之后,返还其中的600元保险金。网站上预留的汇款人账户竟然是个人账户,客服电话是一个比较奇怪的号码,而官网客服电话区号为021,这些都与官网有很大出入,我们在拨打真正的《跑跑卡丁车》官方客服电话后也进一步证实了该网站是骗人的。此外,中奖活动时间居然在不断地变化着。
编辑点评:网络游戏由于拥有数量庞大的用户群,因而也是诈骗活动的高发地带。同时,由于很多游戏网站都会不定期地举办一些有奖活动,这也使得一些不法分子"浑水摸鱼",利用各种中奖信息作为诱饵实施诈骗。
尽管各游戏官方网站一再发表声明,提醒广大玩家注意鉴别、提防受骗,但还是不断有用户受骗,归根结底是有的用户仍然抵挡不住"巨额大奖"的诱惑。建议广大游戏用户一定要提高警惕,注意鉴别各种"中奖信息"和相关网站的真伪。
如何找到后台地址
虽然网上有很多网页有各种各样的安全漏洞,利用它们我们黑客可以暴出网站的账号和密码,但是经常会碰到找不到网站后台登录界面的情况,许多菜鸟做到这里就止步了。
但这还难不倒我,如果我暴出的账号分配的有DB_OWNER权限,我就可以利用DB的目录浏览权限来读取服务器目录,从而找到后台登录界面(当然完成这个过程需要一定的耐心),登录后即可上传木马了。
小提示:要上传木马,首先要成功找到网站系统后台地址,其次系统后台还要具备数据库备份以及上传功能。
A.查询入侵网站的权限类型
首先在《啊D注入工具》(下载地址:http://www.cpcw.com/bzsoft)的“SQL注射检测”界面中,输入我们已经检测出该网站存在漏洞的网页地址,再点击“检测”按钮检测网站对应的信息,从程序窗口的“当前权限”中可以看到用户的权限为DB_OWNER(如图1)。如果网站的权限不是DB_OWNER就换一个网站试试。
B.找出后台地址
接着,我们要查找出网站隐藏的后台地址。现在点击“相关工具”中的“目录查看”,在“检测位置”下拉列表中选择要进行查看的服务器分区。通过对每个目录的查看,发现系统的后台目录由Admin改成Admin_999。
现在利用浏览器打开后台地址http://www.xxx.cn/admin_999/admin.Asp,并且利用先前已经得到的账号和密码进行登录就可搞破坏了。如果运气不好,该网站的后台并没有数据库备份以及任何的上传功能,我们就无法上传ASP木马(如图2)。
C.巧用WebEditor上传木马
难道这样就算了?不!通过“目录查看”,在服务器查找其他有用的信息。结果我在D:\Webs04\Bjdfty\目录下发现了一个WebEditor目录。WebEditor是简单的网页编辑器,网络编辑可以用它对网站进行编辑。
通过浏览器登录WebEditor(地址http://www.xxx.cn/WebEditor/admin_login.asp),接着在WebEditor的后台管理窗口中选择有编辑功能的样式,例如Standard,再点击后面的“拷贝”按钮复制该编辑样式(如图3)。
找到复制出的编辑样式后,点击后面的“预览”按钮打开新窗口。点击窗口工具栏中的“插入图片”按钮,选择一个图片格式的ASP木马进行上传。再点击窗口下面的“代码”得到木马的链接(如图4)。用浏览器打开ASP木马的链接,最终我们就可以控制这个网站了。
守:DB权限要严格分配
看了上面的讲解,是不是有一种豁然开朗的感觉。黑客就通过简单的点击鼠标,再加上那么一点点的分析过程,就通过DB_OWNER权限最终控制了网站系统。那么作为管理员以后该如何防范类似的攻击呢?
小编在这里提醒各位网站管理员,要定时到官方网站下载安全补丁,修复已知的网站系统漏洞,不要让黑客轻易拿到具有DB_OWNER权限的账号和密码。
当然,我们还要对网站管理权限进行设置。根据不同管理员的工作性质进行分配。比如是高级管理员,就可以分配DB_OWNER权限,以方便他对数据库进行备份操作。
如果仅仅是一些网络编辑的话,那么就可以不分配DB-OWNER权限。由于本身的权限很低,即使黑客得到这类账号和密码,想进行入侵都是非常困难的,从而有效地保护网站系统的安全。
From:http://www.itcomputer.com.cn/Article/Network/201309/362.html