目前,大多数ADSL宽带上网用户,为了上网的方便,在拨号软件或者ADSL Moden上保存自己的上网账号和密码。这存在很大的安全隐患,如果黑客盗取ADSL账号和密码,然后在网上购买Q币,就会造成受害者金钱的损失。那么黑客会如何盗取受害者的ADSL账号去购买Q币?我们应该如何防范呢?下面安全专家将教我们如何打赢ADSL账号密码保卫战。
远程操控获得Q币
互联星空网站的开通,打破了网络付费的限制,从而允许大家利用自己的ADSL账号,支付包括购买腾讯Q币在内的各类活动的开销,为我们提供了方便。这也是为什么黑客喜欢通过肉鸡,来支付自己购买Q币时的开销。
知己知彼方能百战百胜,我们先看看黑客是如何盗取ADSL账号密码的。这里我们假设已经有了一个中了灰鸽子木马的ADSL宽带上网电脑。
小知识:肉鸡是指在网络上,已经被你成功入侵的主机,并且这台机器完全受控于入侵者,入侵者可任意操作。
步骤1:打开灰鸽子客户端程序,在左边目录文件浏览处,展开自动上线的主机“加号”,会出现刚才运行服务端木马的主机IP。然后将其目标主机选中,单击上方“Telnet”功能图标,弹出“远程主机”命令窗体(图1),在常用的DOS命令文本处,输入Net Stop Sharedaccess的命令字符,敲击“回车”键,将远程主机的防火墙关闭。Www.iTcoMpUTER.Com.cN
步骤2:既然目前已经没有网络介质阻碍本机与远程肉鸡的通讯,那么现在就可以随意传送工具到肉鸡,这里单击“上传”功能按钮,在出现的对话框中,找到事先为肉鸡准备的Hgzmm911工具,然后单击“确定”按钮,将它上传到肉鸡驱动器。
小知识:Hgzmm911工具是一款ADSL破解工具,它体积小、猜解速度和成功率均比较高。但是该工具只能支持命令模式的操作平台,来执行破解程序的猜解功能。
步骤3:随后刷新一下上传的目录,此时肉鸡驱动器就会“浮现”出传入的ADSL破解工具。然后在其软件上方单击“右键”按钮,选择“本地打开”选项中的“带参数运行”标签。弹出“带参数运行”对话框,输入该软件执行代码(图2),再单击“OK”按钮,灰鸽子操作界面的状态栏,会出现“远程打开成功”的提示信息,说明已经成功破解ADSL密码。
步骤4:再次单击文件上面的“刷新”按钮,你会发现肉鸡的C盘符多出一个1.TXT文档,这也就是执行破解命令完毕后,将得到的ADSL密码信息存放的文档位置。然后在其文件上方单击“右键”按钮,选择“本地打开”选项,把里面的密码信息保存到本地,再选取“控制命令”标签,将Socks5服务开通,以便进入互联星空,使用相对应的ADSL账号和IP地址支付开销。
如何在安全模式下杀毒
对于一些顽固的病毒,我们常常要进入安全模式查杀,不过进入安全模式再杀毒的过程对于一些初级用户来说过于复杂。其实我们可以自己动手将杀毒安全模式添加到开机菜单,实现一键进入安全模式杀毒。下面我们以Windows XP平台中的KV2006为例介绍具体方法。
两步打造开机菜单
第一步:打开“我的电脑”找到c:\boot.ini右击选择属性,去除它的“只读”属性。注意boot.ini是系统的隐藏文件,要将文件夹查看方式设为“显示受操作系统保护系统文件”和“显示所有文件和文件夹”才能看到。
第二步:用记事本打开boot.ini,在“multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /”下添加“multi(0)disk(0)rdisk(0)partition(1)\Windows="安全模式自动杀毒" /fastdetect /safeboot:minimal(alternateshell)”,然后保存。
其中/safeboot:minimal(alternateshell)表示启动的是带命令提示符的安全模式,菜单名称是“安全模式自动杀毒”。 /safeboot:minimal参数表示直接进入安全模式,也可以再添加这个参数将正常安全模式添加到开机菜单。
提示:单击“开始→运行”,输入“msconfig”,启动系统配置实用程序后单击“boot.ini”,然后在“启动选项”下勾选“Safeboot”,单选后面的启动参数可以自行设定安全模式启动方式。
提取杀毒命令行参数
首先,我们打开KV2006,选择“简洁目标”,右击“我的电脑”选择“发送桌面快捷方式”,返回桌面右击新添的快捷方式选择属性,在“目标”栏就可以看到杀毒的快捷方式了,复制这个命令。
然后,启动记事本,粘贴KV2006杀毒快捷命令,然后将文件保存为kill.bat批处理,放置在g:\,这里大家可以任意放置,实例中我们放置到g:\。
提示:其他杀毒软件的命令参数可以通过Longhorn任务管理器获取(下载地址http://www.cniti.com/soft/epc/2004-10/taskmgr.rar),文件下载解压后,将得到的“Taskkill.exe”、“Tasklist.exe”、“Taskmgr.exe”依次覆盖到“C:\Windows\System32\Dllcahe”和“C:\Windows\System32”。当弹出“Windows文件保护”对话框时,选择“取消”按钮,保留更改后的文件。在新版任务管理器面板单击“查看→选择列”,勾选其中的“命令行”和“映像路径”选项。现在启动杀毒软件(如瑞星)扫描“我的电脑”,打开任务管理器,提取扫描进程的映像路径参数即可。
修改注册表
单击“开始→运行”,输入“regedit.exe”,打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot],将其右侧窗口“AlternateShell”的值设置为“g:\kill.bat”(图3)。
提示:AlternateShell默认数值是Cmd.exe,这就是进入“带命令提示符的安全模式”后启动的命令提示符程序,我们这里将它替换为kill.bat,实现进入安全模式后自动杀毒。
一键进入安全模式杀毒
现在如果碰到顽固病毒需要进入安全模式杀毒,重启电脑后在“请选择要启动的操作系统”启动菜单中选择“安全模式自动杀毒”,进入安全模式后就会自动启动KV2006杀毒了。
这是不是方便多了呢(图4)?由于杀毒是通过kill.bat脚本的实现的,默认是扫描“我的电脑”,如果以后要更改扫描参数或更换杀毒软件,只要修改这个脚本文件即可。
如何清除木马
随着黑客技术的日益发展,各种“装备先进”的木马在网上大面积传播。如果大家遇到杀毒软件能够查出来,但却无法清除的病毒,那么多半就是现在网上非常流行的DLL动态嵌入式木马,相对普通木马来说,DLL木马的查杀不易。难道我们就拿它们没有办法了吗?如何清除木马呢?下面我们就一步一步来删掉这个如蛆附骨的DLL木马。www.sq120.com推荐
小知识:什么是动态嵌入式DLL木马?
这种木马是将DLL木马文件嵌入到正在运行的系统进程中如“explorer.exe”、“svchost.exe”、“smss.exe”或系统常见的进程如“iexplore.exe”、“notepad.exe”,而在任务管理器里出现的就只是DLL的载体EXE文件,由于这些进程就是系统本身的进程,因此DLL木马具有极强的隐蔽性。
惊现病毒——杀毒软件束手无策
近日,笔者的Norton报警发现病毒“E:\windows\sagent\mssasu.com”(注:笔者系统安装在E盘)如图1。从病毒名称可以判断是一个黑客后门程序,看来是有人在电脑上安装了后门。
发现病毒自然是杀毒,将病毒库升级,启动Norton进行全面查杀,Norton又提示发现其他两个病毒,不过Norton既无法隔离也无法将病毒删除,如图2所示。
寻根究底——木马现原形
Norton无法删除病毒,原因显然是由于病毒进程正在运行导致的。由于Norton总是弹出发现病毒窗口而无法查杀,笔者便将Norton的自动防护暂时关闭。打开任务管理器,奇怪的是并没有发现有什么陌生的进程,不过其中的“iexplore.exe”引起笔者的警觉,因为此时笔者并没有运行IE浏览器,进程列表里怎么会出现这个进程?
右击进程选择“打开所在目录”,通过查看“iexplore.exe”属性,发现这的确是系统自带的IE浏览器,难道是IE染毒了?然后我又发现在关闭Norton自动防护情况下,每次终止“iexplore.exe”后,不到2秒它就会立刻复活,而启动Norton的防护后,则会发现“E:\WINDOWS\msagent\msdwix.com”病毒的提示。显然“msdwix.com”就是“iexplore.exe”的守护进程,当它发现监视的进程被终止后会立刻使它复活。
结合Norton发现的“Dxdgns.dll”这个病毒,笔者初步判断这应该是一个动态嵌入式DLL木马,它把“Dxdgns.dll”木马文件插入“iexplore.exe”进程里了。为了便于比较,笔者又启动一个“iexplore.exe”进程。进程调用的DLL文件,通过“Windows优化大师”组件“Windows进程管理”来查看。启动程序后选中“iexplore.exe”,单击“模块信息”,通过和正常IE进程详细对比,可以看到“e:\windows\dxdgn.dll”的确被IE调用,这就是病毒真身了,如图3所示。
先治标——清除病毒文件
对于此类病毒,笔者使用了“系统权限法”来阻止进程运行(注意:使用该法前提是系统采用NTFS格式)。打开“我的电脑”,单击“工具→文件夹选项→查看”,然后在“高级设置”选项下去除“简单文件共享(推荐)”前的小钩。
现在打开“E:\WINDOWS\msagent”,找到“msdwix.com”右击选择“属性”,然后单击“安全”标签,接着在属性窗口单击“高级”,在弹出的窗口清除“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框,在弹出窗口单击“删除”,去除所有继承的权限,依次单击“确定”后退出,这样电脑上就没有任何用户可以运行“msdwix.com”了。
提示:对于采用FAT32格式的用户,可以将电脑重启到纯DOS下,手工删除“msdwix.com”文件。此外,对于通过系统的“rundll32.exe”命令调用DLL文件作恶的木马,也可以利用上述方法去除DLL文件的运行和读取权限。
现在使用任务管理器终止“iexplore.exe”,由于“msdwix.com”无法运行,自然它也不能重新加载“Dxdgns.dll”木马了。将电脑注销一下进入“e:\windows”,顺利删除了“Dxdgns.dll”。现在进入“E:\WINDOWS\msagent”,找到“msdwix.com”右击选择“属性”,重复前面的操作,勾选“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框。最后按照Norton查毒的提示,删除其它病毒文件。
再治本——清除木马启动程序
因为每次启动这个木马病毒会运行,显然它在注册表添加了自启动项目,查看自启动项目软件有很多,笔者这里向大家推荐一款软件Autoruns 7.01 汉化版(下载地址http://www.d66.net/soft/6942.htm),它可以详细列出电脑上所有的自启动项目,运行程序后单击“查看”,依次勾选所要显示的项目(如服务、DLL文件、浏览器加载项、空位置),单击“刷新”后就可以看到检测结果了,它会列出所有启动位置。
从Autoruns检测可以看到,这个木马的启动键值是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]和[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下的COM服务,原来木马还通过注册为系统服务的方式启动。右击查找到的启动项目选择“跳转到具体位置”。这样可以直接打开注册表并定位到相应启动键值,按提示删除COM服务键值即可修复注册表。至此顺利将这个难缠的DLL木马扫地出门!
From:http://www.itcomputer.com.cn/Article/Network/201309/987.html