最近网上出现了一种病毒,电脑在感染这种病毒之后,系统时间会锁定在1980年。同时,1980病毒还下载灰鸽子木马来远程控制电脑。由于1980病毒集成了很多恶性病毒的特征,用户纷纷中招,而且要想完全清除非常困难。www.sq120.com推荐文章
遭遇怀旧型病毒
最近,张卫正碰到了令人心烦意乱的电脑问题。一开机,系统日期就被修改成了1980年,可是当他重新设置到当前时间后,再重启后系统时间还是被还原到1980年。他怀疑主板的电池用光了,可更换了主板的电池也无济于事。
最后,他只得求助安全诊所。坐堂的裘医生还发现就诊者的电脑系统被强行安装了悠视网络电视和“手机铃声下载”的网页快捷方式,系统不停地弹出广告网页,IE主页被修改成了www.7255.com。根据以上症状,裘医生已经可以确诊:张卫正的电脑感染了1980病毒。
1980病毒档案
该病毒可以窜改系统时间,每次都修改到1980年,因此得名1980病毒。它不但破坏系统,而且还具有盗窃机密信息的能力。同时,它还具有通过移动存储设备传播的能力,可以在每个盘上生成autorun.inf文件。只要双击盘符,就将激活病毒。
掀起病毒的盖头
病毒会修改隐藏文件的注册表设置。导致用户无法查看隐藏文件。所以,我们要先修复注册表。打开注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL子项,将右侧的ChekedValue键值改为0,并刷新注册表。wwW.iTcoMPuTer.CoM.Cn可以显示隐藏文件后,进入系统盘和其他盘,把隐藏的bMkzU.exe和Autorun.inf文件全部删除。
痛击病毒主力
接着,运行进程分析软件Process Explorer,我们发现“C:\windows\system3 2\7083854C.exe”进程和5个iexplore.exe进程,全部运行“kill process”命令予以终止(图1)。
裘医生发现关闭了IE进程后,仍然有IE窗口弹出。因此,还需要进一步清理更深层次的病毒。
力斩病毒余孽
为了剿灭隐藏在系统暗处的病毒,裘医生打开超级巡警。进入到“进程管理”项目,在“iexplore”进程发现4fb0ntos.dll和40a6cfsb.dll应该是病毒下载木马病毒的文件,因此选中这两个文件,然后选择“删除标记模块文件”予以清除(图2)。
这样该进程就无法下载病毒了,接着标记“iexplore”进程为“禁止进程创建”。不过,自行弹出窗口的元凶还是有待追查。裘医生继续切换到“服务管理”选项,这时有两个陌生的服务C:\Windows\system32\1882DE 9E.EXE和C:\Windows\system32 \24E38E8D.EXE引起了裘医生的关注。
虽然服务处于停止状态,但是它们的启动方式还是出卖了它们。裘医生认定这是病毒启动“iexplore”进程的病毒文件,于是便删除服务和映像文件。最后到“IE设置”选项清空了主页。
1980病毒不是等闲之辈,除了以上的隐匿启动方式,它还加载了自启动项。启动HiJackFree查看系统启动项目。进入“自动运行”项目,很快发现了名为“sdafdsafds”的C:\windows\temp\162.exe注册表启动项目,马上予以删除。
再检查HKEY_LOCAL_Machine\software\microsoft\win dowsnt\currentversion\winlogon子项的userinit键值。我们发现该键值被修改成了C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\1015.exe,rundll32.exeC:\windows\system32\winsys16_070212.dll start,很明显病毒希望通过该键值实现更加难以被察觉的启动方式(图3)。
修改为默认的C:\WINDOWS\system32\us erinit.exe,然后删除了后面的病毒文件。重新启动电脑,这时不再有IE窗口弹出了。可是还是无法使用任务管理器,进入HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Policies\System子项,修改DisableTaskmgr键值为0,刷新后就可以使用任务管理器了。这时,系统时间没有被改回1980年了。因此,这次1980病毒的诊治宣告成功。
防患于未然
1980病毒可以通过移动存储设备传播,因此需要右键单击电脑的盘符来判断是否有病毒(有auto命令则说明有病毒)。使用移动存储设备时,不要直接插入使用,可以先按住Shift键来阻止自动启动以防感染病毒。最后,我们提醒大家,及时更新杀毒软件,并开启实时防护功能,可以在很大程度上防范病毒。
如何入侵OBlog系统
OBlog博客程序(一套Windows NT服务环境下的多用户博客建站程序)形成的注入漏洞主要还是变量没有经过过滤引起的,该漏洞存在于文件js.asp之中。通过对js.asp文件的查看,我们就能很明显地看到TID(Thread ID线程标识符)没有经过过滤就直接递交给函数TEAMID,而函数TEAMID只过滤了“|” 就直接进SQL语句了,因此对攻击者的注入操作没多大的影响。
注入成功后即可进行数据库管理员表的猜解,但是后面发现可以直接用SQL语言中的UNION命令暴露管理员的账号密码,被暴露的账号密码就藏在网页源文件里。通过查看网页源文件,在源文件的代码gid后面的就是管理员账号,而 pid后面的就是管理员的MD5密码了。
漏洞利用
打开搜索引擎,在关键词输入框中输入“Copyright by OBlog.cn”,然后按回车键开始进行搜索。或者直接运行“OBlog4.X漏洞暴管理员密码工具菜鸟智能版”,接着在程序界面中点击“搜索OBlog”按钮,搜索受影响的OBlog博客系统(图1)。
从工具窗口中的搜索结果中任意选择一个链接,然后将该博客的网页地址复制到利用程序的“目标网址”选项中,接着点击工具中的“暴管理密码”按钮。浏览器页显示完毕并提示成功后,点击鼠标右键中的“查看源文件”命令,即可获取管理员的用户名以及MD5密码(图2)。
点击漏洞利用工具中的“XMD5密码破解”或“CMD5密码破解”按钮,这时利用工具将主动利用系统浏览器登录这两个MD5密码破解网站。将前面获取的管理员MD5密码复制到密码破解框中,点击“MD5加密或解密”按钮进行密码破解。如果运气好的话,就可以在该网站数据库中找到合适的相关数据,那么很快就可以得到破解的密码信息(图3)。
如果通过网站不能破解MD5码,就要通过在本地计算机进行解码。MD5Crack是MD5破解中最常用的工具。它最大的特点是速度方面比很多同类工具都快,不过这种方法要牺牲大量内存来换取速度。
最后我们通过浏览器登录该博客网站,在登录窗口输入管理员的用户名以及破解的密码。成功登录以后可以对博客网站进行管理操作,比如数据库管理、上传文件、网页挂马等(图4)。
系统启动时黑屏 Q:我的电脑是新买的,主板为华硕A7N8X-X,在安装好Windows XP操作系统后,重新启动自检通过,但在出现系统启动的滚动条时突然黑屏,左上角光标一直不停地闪烁,请问这是怎么回事?电脑知识网推荐
A:这可能是BIOS中APIC模式(APIC Mode)的设置造成的问题。APIC模式用于开启或关闭APIC(高级程序中断控制器),启用APIC模式将会扩展可选用的IRQ(中断请求)系统资源,以避免IRQ冲突的发生。上述问题的解决方法是:开机进入BIOS,在“Advanced”→“Advanced BIOS Features”中,将“APIC Mode”项设为“Enabled”,然后保存退出即可。
From:http://www.itcomputer.com.cn/Article/Network/201309/468.html