当头目物色到攻击目标后,向下属成员发放攻击力极强的黑客软件,随着一声号令来自全国各地的数百上千名有组织的向目标网站发起大规模DDoS(分布式拒绝服务攻击),在成功攻破数台服务器后又将它们作为傀儡机,发动更大规模的RDOS(反射式拒绝服务攻击)长时间大规模饱和攻击造成了该网站甚至为其托管的整个机房面临灭顶之灾,所有带宽出口全被占用,正常用户无法访问网站。
由于攻击者遍布全国各地且利用多重跳板并有大量傀儡机作伪装,很难找到源头。就在这时,网站负责人都会接到匿名邮件或电话勒索敲诈钱财,要价可谓狮子大张口,费用从几万到几十万元不等。
如果遭到拒绝,网站又将面临更大规模的饱和攻击,直至彻底瘫痪。而一些中小企业为了宁事息人只好被迫就范。这样,使得“网络黑帮”眼光越来越高口气越来越大,目标直指顶级门户。前些天某省电信DNS服务器一度被攻破,造成全省网民无法解析域名。
越发狂妄的攻击严重阻碍了我国正常的网络秩序,已经构成了犯罪。本周,国务院信息化办公室、公安部、信息产业部、中国科学院四部门联合发出倡议对此类恶意攻击行为将严厉打击,且多家国内顶级数据和安全机构也将参与其中,一场反击“网络黑帮”战役即将打响。Www.ITcomputer.com.cn
ErrorSafe是什么
近期,大量读者投诉一款名为ErrorSafe的流氓软件,读者反映该软件打着反间谍、修复系统漏洞旗号将自身伪装成安全软件,未经用户许可强行捆绑安装,开机后发布虚假系统错误信息及安全警告,声称只有ErrorSafe才能解决该问题并督促用户购买产品。
接到读者投诉后我们对ErrorSafe作了深入调查,在搜索引擎中输入ErrorSafe后,首先映入眼帘的就是各大网站、论坛关于该流氓软件的投诉和求救信息。随后来到它的中文网站(http://cn.errorsafe.com)首页并没有发现异常情况,可是在下载页面狡猾的狐狸就露出了尾巴。
ErrorSafe正准备强行安装时被杀毒软件拦截并报告该页面嵌有木马,选择取消安装后,没想到它又调出网际快车下载。我们将它下载到D盘后,防毒软件立刻报警,病毒名为Trojan.DownLoader.10963,看来含有木马下载器的成分。
随着调查的深入,我们发现这是一款在国外早就臭名昭著的恶意软件,从去年开始进入中国,最近出现新变种更是极难查杀,目前尚无完全有效的清除方法。
如不幸中招,建议先禁用可疑启动项,用防火墙拦截ErrorSafe出站访问,并屏蔽http://cn.errorsafe.com、http://www.errorsafe.com及66.244.25 4.64,可尝试使用驱逐舰的在线诊所http://www.vccn.com.cn/webscan/index.html扫猫,最后进入安全模式使用ewido反间谍工具清理。
流萤木马是什么
流萤木马是一款全新的国产反弹型木马程序,它的特点就是服务端小巧,仅有36KB的大小。它的服务端程序之所以小巧,完全是因为它的服务端程序仅仅是一个“下载者”程序。当这个“下载者”程序安装到系统以后,才会将真正的服务端程序安装到系统之中,这也就是中招后系统出现假死的主要原因。另外该木马可以调用包括IE浏览器在内的众多系统进程,并且服务端程序运行十分稳定,客户端程序可以同时对几个服务端进行操作。www.sq120.com推荐文章
隐私大白天下
今天,万大夫接待了这样一位病人。来者自称姓马,他称早上一个好友打来电话,声称在一个论坛发现了自己和我女朋友的照片,这些照片并不是自己上传上去的。听病人讲到这里,万大夫心里对情况已经有了大致的了解。
接着万大夫一边听着病人的描述,一边进行着详细的记录。病人告诉万大夫说:元旦前一天上午有一段时间,系统好像假死一样不能操作,不过硬盘却一直在狂转,好像在下载什么东西。
接着出现一个IE浏览器的连接网络的提示框,重新启动后不久又出现其他系统进程的连接窗口。自己怕麻烦就同意通过了,结果自己的照片就被偷了。通过病人的叙述,万大夫基本上可以肯定这款木马就是现在网络中活动异常猖獗的“流萤”木马。
流萤的隐身术
当万大夫确诊病情以后,就开始准备进行治疗了。首先万大夫从系统的启动项着手,准备从中找到木马程序的启动项。万大夫首先选择查看系统启动项的佼佼者AutoRuns,点击AutoRuns的“用户”选项选择用户,接着就会在主界面中将启动项和进程全部显示出来。点击操作界面的“全部”标签,这样系统的所有启动项就一目了然了。
经过认真检查,万大夫很快就在系统服务启动项中发现一个可疑的启动项。它之所以引起大夫的注意,并不是它的启动名称,而是因为它在列表中的“说明”和“发行商”两项都没有任何的标注(图1),而正规的软件程序在这两项中都会有标注。可是该文件也没有进行伪装,这不像是黑客惯用的伎俩啊?
接着万大夫再来看看系统中有没有可疑的进程,他使用的是Process Explorer。该软件可以让用户了解看不到的那些在后台执行的程序进程,通过它能显示目前已经载入的程序模块、程序所调用的 DLL进程等。Process Explorer最大的特色就是可以结束任何进程,甚至包括系统的关键进程都可以结束。
首先我们应该了解,进程分为两种。一种是系统进程,即System进程树下的所有进程;一种是普通进程,即在Explorer进程树下的所有进程。对于那些拥有独立进程的木马程序,使用Process Explorer很容易就能发现的。经过认真查看,在System进程树下发现了一个名为FireFly.exe的可疑进程(图2),正好这个可疑进程和那个可疑的启动项是联系到一起的。 现在大夫来进行木马程序的清除工作。首先在Process Explorer的System进程树下,找到FireFly.exe这个可疑进程,然后点击右键菜单中的“终止进程”按钮将该进程结束。再切换到AutoRuns窗口,在系统服务中找到该木马的启动项Remote Control,同样点击鼠标右键中的“删除”命令即可删除该启动项。
由于AutoRuns的删除是直接对注册表进行操作的,没有办法自动恢复,所以用户不要看到什么使人生疑的东西就删除。如果仅仅是怀疑的话,用的时候把启动项前面的钩去掉就可以了。最后来到磁盘的C:\Program Files\firefly-remote文件夹下,将整个文件夹删除即可(图3)。
由于流萤是一款木马程序,所以它主要是通过网页木马、文件捆绑等主要方式进行传播的。但是人们往往忽略这些环节而“大意失荆州”,以至于在个人信息受到威胁时后悔莫及。从整个木马清除过程来看,最简单的可疑程序检测方法就是参看这些文件的“说明”和“发行商”有没有具体的内容。如果发现某些文件没有这些内容的介绍,那么首先就需要对它们进行重点检查。
除此之外我们知道,现在很多具有远程控制功能的软件,自身都带有一个“/u”的卸载参数,运行后服务端就可以完全卸载(图4)。以后遇到可疑文件就可以用这个参数来试着卸载,流萤的服务端也可以采用这种方式进行卸载。
From:http://www.itcomputer.com.cn/Article/Network/201309/470.html