最近有调查报告显示,知名品牌的杀毒软件对新型计算机病毒的查杀率只有20%,而漏杀率却高达80%。那么是什么原因造成这种状况的?到底是如今的病毒过于厉害,还是杀毒软件的能力有限?今天我们就通过实例来看看是什么“刺瞎”了杀毒软件的双眼。www.sq120.com推荐文章
黑客姓名:于谦
黑客特长:免杀程序的制作
使用工具:MaskPE
使用工具:超级加花器
使用工具:Private exe Protector
黑客自白:由于木马软件都存在着“黑”特性,所以每当它们被公布出来不久,就会被杀毒软件所查杀。为了避免这种情况的发生,我开始研究如何对黑客程序进行免杀,让各种各样的杀毒软件在它们面前成为“睁眼瞎”。
如何才能起到免杀效果
现在的杀毒软件对任何病毒的查杀,都是建立在拥有该病毒的特征码的基础上的。黑客为了让木马程序不被杀毒软件查杀,会通过各种方法对它进行修改或伪装,也就是进行免杀处理。
目前常见的免杀方法有加壳、加花(指令)、修改特征码、变换入口点、入口点加密等。同时当前主流的杀毒软件都采用了复合特征码,因此很多时候通过一种方法很难达到免杀效果,这时需要几种方法配合才能起到免杀效果。
实战程序免杀
一、免杀从程序内部开始
准备好我们要免杀的黑客程序。wWw.iTcOmPUTEr.COM.cN首先进行加密处理,运行加密程序MaskPE,它是一款自动修改PE文件的软件,可以将程序原有的源代码打乱,这样就能生成免杀的木马或病毒。
点击“Load File”按钮选择免杀程序,在“Select Information”列表中任意选择一项,最后点击“Make File”按钮,在弹出的窗口中对加密的文件进行另存即可。
二、花指令迷惑杀毒软件
运行“超级加花器”,这是一款全新的加花程序。首先将服务端程序直接拖动到程序的主界面进行释放,接着在“花指令”下拉列表中选择一种花指令,单击“加花”按钮后就可以了。这样,一段花指令就被成功地添加到黑客程序代码的最前面,那些从文件头提取特征码的杀毒软件也就无能为力了。
三、加壳阻止杀毒软件分析
然后进行加壳处理,这样可以阻止杀毒软件将获取的源代码和特征码进行比对。运行Private exe Protector这款加壳程序,在出现的“应用程序”列表中设置需要免杀的黑客程序。再将下面“设置”选项中将“动态保护”勾选上,最后点击工具栏中的“开始保护”按钮即可马上进行加壳处理。
四、改入口点防特征码对比
最后进行更改入口点的处理,它的目的和加壳处理相似,就是让杀毒软件无法从黑客程序的入口点来获取源代码。运行PEditor这款软件修改程序,点击“浏览”按钮选择黑客程序,找到“入口点”这个信息选项,接着在原来的数值的基础上加上1,接着点击“应用更改”按钮就可以完成刚才的设置确认。
当黑客程序进行完免杀处理以后,首先要使用多款杀毒软件对它进行杀毒检测,没有安装杀毒软件的用户也可以通过一个多引擎样本查毒网站进行检测。
如果已经不被杀毒软件所查杀了,还要在本地测试经过免杀处理后的程序是否能正常的运行。只有进行了这一系列测试以后,才能确定该黑客程序是否免杀成功。
如何盗adsl账号
大部分ADSL调制解调器都内置了路由功能,但它的随机软件并不能支持在PPPoE虚拟拨号接入方式下使用该功能,所以很多朋友为了能够多台电脑共同上网,使用了一个外置的路由器,但是这就给黑客留下了可乘之机。
黑客ID:心香燃无眠
黑客特长:远程入侵
使用工具:SuperScan
黑客自白:
使用路由器共享ADSL上网的朋友,最容易忽视的问题就是没有修改路由器的配置密码。一般的路由器在出厂的时候会有一个默认的配置密码。只有知道这个密码,用户才能对路由器进行配置。很多用户在配置自己的路由器之后,并没有修改这个密码。导致网上一些不法之徒可以控制路由器,从而盗窃用户的ADSL账号。
寻找攻击目标
扫描ADSL上网用户的IP段,获取开放80端口的主机列表。如果自己使用的是ADSL上网,那么先拨通自己家的ADSL,然后用ipconfig命令查看自己的IP地址。
一般北京的ADSL上网的用户多为61.49.*.*。获得了自己的IP段之后,就可以找一个好的端口扫描工具了。端口扫描工具有很多,其中支持多线程、体积小、速度快的首推SuperScan。我们这里就使用它作为示范工具。
远程盗取ADSL账号
一般我们在开始地址处输入自己的IP段首地址,即61.49.*.1,结束IP地址 会自动显示出61.49.*.254,对于本网段的IP,即IP地址前3位与自己的IP地址相同的IP,在扫描的时候可以把这些数据设置得短小一些,而对于其他网段的地址,一般需要设置得大一点。
下面要设置一下扫描端口,我们在探测路由器的时候只扫描80端口即可。所以单击窗体右上的配置列表,修改Select ports,去掉所有其他端口前的绿钩,最终只保留80端口即可。全部设置好之后,单击Start进行扫描。
我们可以看到这个网段有两台机器打开了80端口,单击这两台机器左边的“+“号图标,可以显示这两台机器所开发的端口信息。61.49.*.68这台机器开放的是一个IIS的服务器,61.49.*.85这台机器开的是一个302标志,根据经验,我们可以知道这里开放的是一个中兴系列的路由器配置接口。
本篇文章我们主要介绍ADSL路由器的安全隐患,这里我们只须在 61.49.*.85上单击右键,选择Web方式浏览即可。
单击之后会出现一个连接配置对话框,点击OK,就可以连接了。通过刚才连接页上的标志,我们可以肯定这是一台中兴831路由器,输入出厂默认的用户名、密码:ZXDSL、ZXDSL,就进入了配置界面。
ADSL账号轻松到手
点击导航栏上的“quick configur ation”即可进入快速配置界面,下面用户名已经看到了,密码却显示为小黑点,这怎么办呢?其实也难不倒黑客,单击右键,选择查看源代码。至此,一个ADSL账户就被黑客轻松拿到手了。
如何清除征途木马
现在木马病毒的传播方式越来越来隐蔽,让不少用户防不胜防。特别是针对某款网游的盗号木马,如果不加以控制,将给这款网游带来毁灭性灾难。最近针对《征途》游戏出了一款木马,它的隐藏方式相当狡诈,非常难以发现。不过,对于这类劣迹斑斑的病毒,安全诊所的裘文锋医生早已见怪不怪了。下面就帮史玉柱揪出这款针对《征途》游戏的木马。www.sq120.com推荐文章
征途木马档案
Svhost32.exe征途木马可以盗取《征途》的密码、其他游戏密码、IM工具密码等等。感染病毒之后,会生成Svhost32.exe、Rundl132.exe进程、msccrt.exe进程等,这些迷惑性进程并不是木马的核心,真正的主谋其实躲藏在阴暗处。该木马的杀手锏应该是插入到Explorer.exe进程的DLL文件。
Svhost32进程“出卖”征途木马
今天安全诊所迎来了一个就诊者。从他咬牙切齿地叙述中,裘医生了解到小王对该病毒深恶痛绝。这也不奇怪,病毒盗取了他的征途游戏的密码,让他损失不小。
盗取密码的一般是木马病毒,那么到底是哪种木马呢?从小王描述的病毒发作特征中,裘医生发现病毒修改了IE的默认主页为http://u4.sky99.cn/。
该木马占用了大量系统资源,使系统稳定性大大下降。在任务管理器的进程窗口出现了Svhost32.exe进程,疑似病毒进程,关闭之后重启系统,仍然会出现。木马占用了网络带宽向黑客发送密码信息,而且把自己的线程插入了系统关键进程。
另外获取用户的密码信息的方式也极其危险,极易导致系统崩溃。病毒还关闭了瑞星杀毒监控。通过小王的叙述,裘医生发现这个系统的情况和中Svhost32.exe征途木马后的情况对上了号,因此,当即就开始诊治起来。
去除木马病毒的伪装
由于Svhost32.exe征途木马有一些没有破坏性的伪装文件,裘医生决定先去除这些垃圾文件。
打开了IceSword,裘医生很快便在其进程选项中发现了Svhost32.exe进程的文件是“C:\Windows\Download\Svhost32.exe”。
右键单击该进程选择“结束进程”命令即可,接着进入该目录删除该文件。同样的,Rundl132.exe进程的文件是C:\windows\rundl132.exe,结束进程后也删除该文件。
同样的,发现msccrt.exe进程的文件是C:\windows\msccrt.exe,结束进程后也删除该文件。由于这些进程都能自启动,打开System Repair Engineer来清除自启动项目。打开程序后,选中“启动项目”时弹出了两次警告信息框,默认为空的注册表值load被修改成了“C:\windows\rundl132.exe”用以启动加载rundl132.exe这个病毒进程。
清空load值来防止病毒自启动。接着删除值为“C:\windows\Download\svhost32.exe”的启动项目xy和值为“C:\DOCUME~1\ADMI NI~1\LOCALS~1\Te mp\upxdn.exe”的启动项目upxdn。
由于病毒试图窜改UserInit项目来达到运行自己的目的,不过这次并未进行实质性修改,只是破坏了原来的值,因此把UserInit项目重新修改为正常的“C:\windows\system32\Userinit.exe”(不包括引号)即可。
幕后主谋现身
裘医生清除完这些病毒文件,下面就是让插入Explorer.exe进程的病毒文件现身了。打开了《超级巡警》,选择“进程管理”选项,根据病毒发作时间很快便发现了位于“C:\Program Files\Common Files\Microsoft Sha red\MSINFO”的可疑文件xiaran.dat;位于“C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp”的可疑文件upxdn.dll和位于“C:\Windows\system32”的可疑文件msccrt.dll。这些文件不但以黄色警告色显示,而且文件属性显示创建时间都是病毒发作期(图4)。
主谋就地正法
狡猾的主谋已经被发现了,下面就开始清除这些文件吧。裘医生选中这些文件,右键单击选择“强制卸载标记模块”命令,这样这些文件就不能得到Explorer.exe进程的庇护了。
接着就可以进入这些文件的目录逐个删除了。完成之后,重新启动计算机,未发现病毒进程,系统运行也稳定了。这说明病毒已经被成功清除了。
Svhost32.exe征途木马,一般通过浏览恶意网站来传播。因此,我们安装杀毒软件开启网页和文件实时防护功能,可以比较好地防范这类木马。开启下载软件(如:迅雷、快车)的文件病毒监控也是必要的。
From:http://www.itcomputer.com.cn/Article/Network/201309/469.html