微软的操作系统是目前使用人数最多的,如果大范围出现问题,那么后果不堪设想,可是就在今年的3月31日,全球的Windows用户都面临来自系统漏洞的威胁,而且涉及的产品包含了现在所有主流版本的Windows。www.sq120.com推荐文章
ANI蠕虫病毒闪电袭击
3月31日,广东的张先生在上网时,浏览器突然提示要下载一名为“你绝对想不到”的图片文件,他认为图片文件一般不会有什么问题,结果打开后却发现什么也没有。这时电脑突然顿了一下,网速也下降很严重,似乎有什么东西在占用着网络。
当天晚上,他在登录QQ时就提示密码错误。他感觉不妙,准备用杀毒软件检查一下电脑,却发现鼠标竟然自己动了,还在翻找着自己的文件。这时他才发现已经有人入侵了他的电脑。
在3月31日,有同张先生一样遭遇的网民不计其数。这些受害的网民都有一个共同点,他们都使用Windows2000以上的操作系统。怎么回事呢?原来,微软多个操作系统被曝存在一处严重的漏洞,并已被多个高危病毒利用,开始在全球范围传播,遭殃的系统还包括号称安全性极强的Vista。
说起这次ANI漏洞袭击可以用闪电速度来形容,其实早在去年12月微软就已在NT内核平台中发现处理鼠标动态指针图形文件(.ANI)时存在漏洞,但当时并未公开。3月末该漏洞被曝光,就在漏洞被曝光的第2天,网上就出现了利用此漏洞传播的蠕虫,当天全球即出现了100多个利用ANI漏洞发起攻击的网站,各大安全厂纷纷发布病毒警告,而很快地,国内就发现了此类蠕虫。WWw.ItCOMPUTeR.cOM.CN
病毒疯狂繁衍
仅仅2天时间ANI蠕虫就已在国内大范围繁衍各类变种,国内三大安全厂商均截获了大量利用ANI漏洞传播的各类蠕虫和木马病毒,并各自采取了相应的紧急措施。
为什么此次ANI蠕虫传播速度会如此之快?正是恶意ANI文件制作相对容易,且能轻易打开系统入口,国内才有大批利用此漏洞的恶性病毒出现,甚至出现了恶意ANI文件生成器。
有安全厂商仅1天时间就截获了5个新变种。短短数日,超过13个利用此漏洞的病毒相继出现。目前已有20多个网站被攻陷,并被挂ANI蠕虫企图窃取QQ及网游账户,甚至偷窥用户隐私。
一些已被控制住的恶性病毒也利用此漏洞衍生最新变种,企图死灰复燃,例如现在已经出现了“威金”的ANI版变种。如果这种情况不加以控制,极有可能大规模爆发病毒,危害甚至超过刚熄灭不久的“熊猫烧香”。
目前,各大安全厂商均严阵以待,密切关注新病毒爆发的迹象,例如国内著名安全厂商瑞星就已将当前病毒疫情调至橙色危险级别,这也是今年发布的第一个橙色危险警报。
或许使用Firefox、Opera等第三方浏览器的用户正暗自庆幸可以躲过网页中嵌入的恶意ANI蠕虫,然而事实是,他们并不能阻止这些畸形ANI文件的运行。同时,QQ用户注意不要轻易接收好友发来的不明图片文件,因为已经发现此病毒可利用捆绑技术将自身嵌入图片传播。
资料:ANI漏洞
Windows系统在处理畸形的动画图标文件(.ani)时存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户机器。这个漏洞主要是Windows在处理畸形文件(.ani)时没有正确地验证ANI文件头中所指定的大小,导致栈溢出漏洞。
如果用户使用IE浏览器访问了恶意站点或打开了恶意的邮件消息,就会触发这个溢出,导致执行任意的危险代码,恶意程序将被自动下载到用户的IE临时目录并得到执行。
由于此漏洞造成病毒大幅增加,微软已经提前发布了原定于本月10号发布的安全补丁,其他版本的用户可访问微软网站自行下载,并将通过法律手段,在全球范围缉拿恶意制造ANI病毒的犯罪分子。
ANI蠕虫“麦英”啃噬系统
此次ANI漏洞受害者中,绝大多数是中了ANI蠕虫“麦英”以及它的变种,如果不小心感染了“麦英”病毒,则很难将它彻底消灭。同时,短短几天时间,“麦英”的变种已经发展到13个之多。安全形势不容乐观!
“麦英”病毒特征
“麦英”病毒是一种极具破坏力的蠕虫病毒,它利用微软动画光标ANI漏洞,通过电子邮件和恶意网站等进行传播。该漏洞影响包括Vista在内的Windows 所有主流版本。
“麦英”病毒可感染本地磁盘、闪存、共享目录以及大小在10KB~10MB之间的所有EXE文件,被感染后电脑运行速度极慢,还可导致企业局域网大面积瘫痪。病毒向外大量发送电子邮件,邮件主题为“你和谁视频的时候被拍下的?给你笑死了!”其中附件即为病毒体。
另外,“麦英”病毒还可以感染扩展名为ASP、JSP、PHP、HTM、ASPX、HTML的脚本文件,病毒采用线程注入等技术所以很难被彻底清除。
如何清除病毒
关闭所有不用的程序,断开网络连接(包括局域网连接)。按“Ctrl+Alt+Del”键打开任务管理器,查找有没有IE进程(IEXPLORE.EXE)、记事本程序进程(NOTEPAD.EXE),以及sysload3.exe文件进程,如果有,把它们全部结束(图1)。
在注册表编辑器中依次展开HKEY_CURR ENT_USER\Software\Microsoft\Windows\CurrentVersion\Run主键,删除下面的“System Boot Check”=“C:\WINDOW S\system32\sysload3.exe”键值(图2)。
注意:以上操作步骤先后顺序不能错,因为许多EXE文件被感染了,所以不要运行其他EXE可执行文件,以免病毒被再次激活。激活病毒后,会重新向注册表中写入启动项。
重启电脑到安全模式下,使用更新了最新病毒库的杀毒软件对硬盘进行全面查毒,清除所有被感染的文件,因为被感染的EXE文件数量庞大,这是最高效的处理方法。
黑客大肆利用ANI漏洞
微软操作系统曝出重大漏洞,Windows 2000以上的所有系统受到影响,这也给微软号称安全性超强的Vista当头一棒。在微软还没有发布漏洞补丁的时候,黑客大肆攻击所有Windows用户,网络安全受到极大影响。要防御就必须知道对方如何进攻,现在我们就看看黑客是如何利用漏洞攻击系统的。
系统就这样被攻陷
运行ANI漏洞的利用程序,只要在网页木马地址中输入木马服务端程序的网页地址即可,然后点击“生成+智能”按钮即可漏洞利用文件(图3)。该漏洞利用程序还增加了一个智能判断系统,可以入侵安装有全部补丁的Windows XP系统,同时根据不同的系统使用不同的漏洞,从而提高网页木马的命中率。
不只ANI这种格式的光标文件可以被利用,其他格式的光标文件同样可以。我们看到漏洞利用工具一共生成了6个文件,其中有一个名为0day的JPG图片文件,这就是生成的ANI漏洞的利用文件(图4)。将这6个文件同时上传到自己的网络空间中,然后将网页木马通过即时通讯软件、电子邮件等方式发布出去。
这是一个全新的系统漏洞,所以很快就可以看到上线的肉鸡。
堵住ANI漏洞
目前微软已经发布了针对ANI漏洞的补丁,广大用户应该立即下载并安装补丁(Windows XP用户下载:http://down load.microsoft.com/download/5/8/3/58324bce-00c5-42b7-bd05-1353c0604dab/WindowsXP-KB925902-x86-CHS.exe,其他版本的用户可访问微软网站自行下载)。针对暂时还无法安装微软补丁的用户,我们推荐大家先使用一些临时解决方法来进行防范。
1. 安装第三方的安全组织eEye提供的第三方补丁进行修补(下载地址:http://dl.360safe.com/AniPatch.rar)。注意:安装该补丁需要关闭防火墙以及杀毒软件,否则将导致系统崩溃。
2. 利用纯文本格式读取邮件信息,如果使用Vista系统,则禁用Vista系统的预览栏。
3. 关闭自动运行功能,我们可以利用超级兔子或者Windows优化大师来关闭。
4. 在Windows资源管理器“工具→文件夹选项→任务”中选择“使用Windows传统风格的文件夹”。
5. 开启网络防火墙,限制可疑程序访问网络的权限,禁止陌生程序发送电子邮件功能。
Trojan.PWS.wsgame病毒是什么 本周各大安全论坛都出现了关于正爆小说网的求救帖,树树也接到了不少读者发来的举报邮件,称该站恶意劫持浏览器窜改系统并致使网速下降严重。
接到读者的投诉后,树树马上对这个正爆小说网做了调查,打开首页后映入眼帘的是不堪入目的色情图片。这时防毒软件立即报警,发现页面嵌有名为Trojan.PWS.wsgame的病毒。
关闭该网页后,防毒软件开始频繁报告有大量update1.exe、update2.exe、update3.exe的程序正在侵入系统,足足有20个之多,甚至连页面中的图片中都捆绑了病毒。同时防火墙报警这些恶意程序请求出站访问,立即拦截。
后面就出现了读者们反映的反复查杀都无法彻底清理的情况。根据树树的研究,原来这些下载器正在向系统疯狂下载各类木马病毒,占用大量的网络带宽使网速急剧下降。此病毒极难清除,大家可以采用以下应急处理方法:
1.切断网络,关闭所有当前应用程序,关闭系统还原,清空IE临时文件夹,
2.进入安全模式,使用费尔木马强力清除助手,抑制update1.exe等文件的生成。
3.使用金山系统清理专家清除NewInfo下载者并禁用未知开机启动项。
4.使用杀毒软件全盘扫描系统。
pcAnywhere软件使用
如果计算机系统出了点小问题,自己又不会处理,怎么办?叫朋友亲自到你家里来帮助你吗?其实你完全可以通过一款名为pcAnywhere的软件(下载地址:http://software.pchome.net/internet/server/remote/3433.html)让你远在他乡的朋友来帮助你(小知识:pcAnywhere是Symantec公司出品的一款远程遥控软件。可将你的电脑当成主控端去控制远方另一台装有pcAnywhere的计算机。它能提供多层次安全防护,强制性密码与使用者认证会防止未获授权的使用者操控被控端计算机。“整合性检查”会拦截黑客的入侵。强大的加密功能则会保护所有的资料安全传送)。程序运行后,其主界面很简单,使用起来也很顺手。下面大家就跟我一起来设置各个选项,快速地掌握使用方法。
1.设置被控端:选中“被控端”按钮,右击“添加被控端”图标,选择快捷菜单中的“添加新项…”在弹出的被控端属性窗口的连接信息栏中勾选上“TCP/IP”;在“呼叫者”一栏的“呼叫者列表”中点击“新建项”按钮。在“身份验证”栏中给将要访问你计算机的用户起一个登录名,再输入密码。这样,在主控端试图连接你的计算机时就会要求其输入用户名和密码,可确保你的电脑不被其他非法用户所控制。同时,你还可以设置呼叫者的权限(如图所示),里面有一些限制主控方行动的选项。如果你十分信任他,可以选择“超级用户”(一旦选择该项,当对方连接上你的计算机时,就拥有的绝对的控制权。建议保持默认设置)。
(本文为WWW.SQ120.COM电脑知识网推荐文章)
最后,在“保护项”中填入一个只有你知道的密码,以防某些居心不良的呼叫者修改自己的权限。最后,双击新添加的“被控端”图标,即可等待主控端的接入。
2.设置主控端:点击“主控端”按钮,右击“添加主控端”图标,选择“添加新项…”在弹出主控端属性对话框的“连接信息”栏中选中“TCP/IP”,在“设置”一栏中填入被控端计算机的IP地址。如果你想连接后自动登录,可勾选上“连接后自动登录到被控端”然后填入被控端分配给你的登录名和密码。其余设置保持默认即可。
3.连接:激动人心的时刻到来了!双击刚才新建的主控端图标,很快,你的计算机就会显示出对方计算机屏幕上的所有内容(如果被控端使用的是Windows XP外观,当连接建立后会自动变为Windows经典外观风格,当主控端断开连接后恢复正常)。这样,你就可以通过网络,对需要帮助的朋友的计算机进行一系列操作了。
比比有话说:在主控端成功连接对方计算机后,你还可以通过窗口上方的快捷键按钮来实现一些其他功能。如类似于QQ的聊天功能的“与被控操作员交谈”等。
From:http://www.itcomputer.com.cn/Article/Network/201309/457.html