病毒的目标——可执行文件
“真倒霉,我下载的贺卡文件怎么都没用了!” 早上一上班,同事小刘MM愤愤不平的话语清晰地传到了我的耳畔。紧接着,她飘然而至:“这回得请电脑高手相助了!”面对MM的邀请,我二话没说就和她来到了事发现场。
小刘MM在我面前想打开几个贺卡都遭到了失败,弹出了播放窗口。 “这是我珍藏的几个贺卡。”小刘MM告诉我。我仔细分析了这几个文件,结果发现可执行文件都被病毒感染,无法正常运行了。而且她的杀毒软件的可执行文件也无法运行。通过现场勘查,唯一的结论是小刘MM的电脑中毒了。那么,她的电脑中了什么病毒呢?
我充分发挥自己在网络安全方面的特长,对小刘MM的上网行为进行了认真调查。从她口中得知,文件损坏是今天早上才发现的,因此很可能是昨天感染病毒的。我打开了小刘MM的IE访问历史记录,在历史记录中找到昨天的网址。为了不错过病毒留下的蛛丝马迹,我采用地毯式的排查方法。当我确定排除一个不用怀疑的网址时,便感到躲在角落的病毒离我近了一步。WWW.ItCompuTEr.cOM.cN
这时,我发现了一个下载绿色版本的Real player的页面。经过询问得知,昨天一个网友发来一个Real格式的生活视频,因为没有安装播放器,小刘便下载了安装了这个版本的Real player。对病毒的敏锐感觉告诉我:幕后主角很快会被我揪出来。
我在自己的计算机开始下载该Real player文件。完成时,我最新升级的病毒防火墙弹出了病毒警报,显示的是win32.parite.a病毒。证据确凿,终于将小刘电脑的破坏者抓捕归案了。我胸有成竹地告诉小刘:“你的电脑中的文件损坏是由于带病毒的Real player引起的。”“真的吗?那么怎么清除这个病毒呢?”小刘信任地注视着我。
翻查病毒档案
我查询了一下win32.parite.a病毒的资料,发现这是一种当前高发病毒。win32.parite.a通过在win32pe类型文件(如:scr屏幕保护程序文件、exe可执行文件)的尾部加入加密的程序,PE的执行入口被修改为指向病毒解密代码,使它运行时转到病毒处,执行完病毒的流程然后再返回到宿主程序的代码从而可执行程序便无法正常工作。
第一次运行时,win32.parite.a病毒会创建一个临时文件,而文件名则是随机的,比如: C:\WINDOWS\TEMP\pgt91F0.TMP。这是一个动态链接库文件,它包含了病毒的主要功能。而病毒会把本地的动态链接库文件存放在注册表的 HKEY_CURRENT_USER\Software\Microso
ft\Windows\CurrentVersion\Explorer\PINF键,运行时,病毒会附加在Explorer.exe文件上以便驻留内存。
病毒会感染本地及它可以访问的网络驱动器上的exe和scr文件。任何exe和scr文件一旦运行,马上就被感染。
斩杀顽固病毒
鉴于win32.parite.a病毒的传染性,首先下载了流行病毒专杀工具spant.exe(下载地址:http://www.onlinedown.net/soft/20838.htm)。然后我拔除了小刘的网线,以切断病毒蔓延的路径。最后进行杀毒(图3)。
杀毒时,按“Ctrl+Alt+Del”组合键打开任务管理器,停止“Explorer.exe”进程,此时任务栏和桌面将消失。按“Alt+Tab”组合键选中启动的杀毒软件,进行全面杀毒。最后重启进入安全模式,删除C:\WINDOWS\TEMP\下的文件和相应的注册表键。
至此,病毒被成功清除。由于发现得早,感染文件数量不是很多,因此可以采取上述方法清除。如果,中毒严重很可能破坏所有可执行文件,建议使用杀毒软件的启动光盘进行杀毒。同时由于破坏文件太多,只能清除病毒后重新安装系统。病毒被清除之后,被病毒破坏的文件不能恢复。
给MM上一堂安全课
win32.parite.a病毒真好比是专吃可执行文件的白蚁,不知不觉就毁坏了大量的文件。当你意识到病毒侵入时,病毒造成的损失却已无法挽回。其实,病毒并非无孔不入,只要你提高警惕,就可以防患于未然了。
我们要培养良好的上网习惯。尽量从大网站或者软件母网站下载,不下载或者尽量少下载绿色版本、破解版本的软件,从而阻止木马和病毒程序乘虚而入。
上网平台的安全性同样重要。Windows XP自带的防火墙能力有限,你需要安装一款更强大的防火墙提高上网安全性。防火墙在如今木马病毒盛行的网络环境下将成为保护系统的第一道屏障。
安装防火墙后,需要进行个性化配置,比如在瑞星防火墙中就有对游戏、QQ、MSN等网络程序进行实时防护。另外,防火墙也须注意更新,确保病毒第一时间被铲除。
巧用WinRAR来抓鸡
WinRAR已经成为用户电脑中必装的软件,可你想过黑客会利用它来抓鸡吗?这是真的,只需一个小小的WinRAR漏洞利用程序,就可以把.rar格式的文件变成抓鸡工具。一旦运行了文件就会变成黑客的肉鸡。这是目前抓鸡比较有效的方法之一,我们应该如何防范呢?下面我们就来揭开谜底。
小知识:抓鸡是黑客常用术语,意思是指主动通过某些程序(如木马程序或远程控制程序的客户端)或技术手段控制用户的PC机,被控制的PC机称之为肉鸡。
为什么要用WinRAR漏洞抓鸡
网络上流传有很多可执行文件捆绑工具,这些工具虽然可以方便的将两个或多个可执行文件捆绑为一个程序,并且可以进行简单的伪装,但是其原理却决定了其不可能成为完美的捆绑工具,目前主流的杀毒软件都可以轻易地将它清除掉。
而用WinRAR漏洞捆绑木马来抓鸡就很有优势,因为普通捆绑检测都是用16进制编辑工具查看程序PE头进行判定的(大部分捆绑程序检测工具用的就是这个原理),但是这条不适合这个漏洞。
小提示:该漏洞的原理是由于WinRAR在处理LHA格式文件时存在边界条件错误,而若将一个经处理后文件改为长文件名并附加成LHA文件,再调用相应参数生成新的压缩包后,被WinRAR打开的时候就会导致本地缓冲溢出。
当用户点击压缩包时会出现错误提示(图1),这时木马程序就已经悄悄运行了,肉鸡就到手了。所以如果我们用这个漏洞来抓鸡,成功率是十分高的,比原始的3389端口抓鸡的成功率高多了。
如何用WinRAR漏洞抓鸡
Step1:将WinRAR的利用程序放到任意目录中,例如C盘根目录。
Step2:单击菜单中“开始→运行”命令,输入“cmd”运行“命令提示符”。将光标切换到“c:”,输入“rar.exe”查看利用程序的使用方法。其使用方法为:“rar [选项] ”。
其中“选项”可以指定生成的文件名以及选择溢出的操作系统等操作。我们使用默认的配置,可以不输入,有需要的话可以添加相应的“选项”。
Step3:将配置好的木马服务端程序也放到C盘根目录,并命名为123.exe。在“命令提示符”中输入命令:“rar 123.exe”,如果回显中出现“All Done! Have fun!”字样即表示捆绑有木马的WinRAR文件生成了(图2)。
Step4:最后我们要做的就是将这个捆绑有木马程序的WinRAR文件发送给别人,当对方运行这个WinRAR文件时,将会出现错误,但是木马已经悄悄地在对方系统后台运行了。对方的电脑也就成了我们的肉鸡(图3)。
不过要充分利用这个漏洞,光靠触发漏洞是不够的,木马的配置也很重要,例如要设置运行后删除自身,安装服务端时不出现提示等,这样当用户运行恶意WinRAR文件时只会出现WinRAR的错误提示,是丝毫感觉不到木马运行的。接着我们还要给木马加上免杀,例如加壳处理和修改特征码等,否则被杀毒软件检测出来岂不前功尽弃。
小提示:运行漏洞利用工具时请先关闭杀毒软件,因为杀毒软件会把它当作黑客工具给清除掉。
防范技巧
1.不要运行陌生人发过来的文件。这是老生常谈的问题了,只不过以前只针对可执行文件,现在连WinRAR也不能轻易运行了。
2.识别恶意的WinRAR文件。在运行WinRAR文件之前,我们可以先对其进行检查,确定无危害后再运行,检查的方法为:右键单击WinRAR文件,在菜单中如果没有“用WinRAR打开 ”这一项,则说明压缩包有异常,不要轻易打开!
3.升级WinRAR到3.7以上的版本,新版本打开虽仍会提示出错,但木马程序不会运行。
攻防博弈
攻 黑客:虽然很多人都有给系统打补丁的习惯,但会给应用软件升级的人少之又少,所以将捆绑有木马的WinRAR文件上传到软件下载网站或一些资源论坛中,将大大增加抓到的肉鸡数量。抓鸡的方法多种多样,我们还可以用135端口来抓安全意识不强的鸡。
防 编辑:系统软件的漏洞可以通过自动更新来解决,而工具软件的漏洞只能通过经常关注一些专业媒体的提醒,定期升级程序来解决。同时养成良好安全习惯,不接收不下载来路不明的压缩文件才是最好的防范方法!至于135端口抓鸡,只要我们关闭了端口,调高了防火墙的安全等级就不用惧怕。
window延缓写入失败 问:我的电脑配置是赛扬D 2.4GHz、华擎865GV、金士顿256MB DDR400、西数硬盘、三星510N、先锋DVD、微软光学精巧500、长城电源+大水牛机箱,今年3月份配的。最近我往硬盘拷东西的时候,系统提示Window延缓写入失败,数据丢失,不知道是怎么回事?重装系统也没用,我有点担心是否被JS黑了?(本文为WWW.SQ120.COM推荐文章)
答:建议你使用排除法通过更换硬盘和主板来检查一下你的系统是否可恢复正常。如果主板IDE口控制器有故障或硬盘磁头、磁片受损,就会有你所遇到的这种故障发生,因此通过更换主板和硬盘基本上就可以找到故障原因了。
From:http://www.itcomputer.com.cn/Article/Network/201309/513.html