軟體 - 病毒偽裝出新招 下載MP3需小心

[psac]

病毒偽裝出新招 下載MP3需小心

隨著MP3播放器價格日益降低，加上手機等移動設備很多也提供MP3播放功能，在網上下載MP3已經是線人都要做的事情之一，於是病毒也開始盯上了音樂文件，各種病毒都打著MP3的幌子走進千家萬戶。

　　病毒入駐搜尋引擎

　　前段時間，一些線人發現從百度和一搜上下載的《輸了你贏了世界又如何》，其實是一個名叫「首頁變種AHK」的木馬病毒，感染該病毒之後IE瀏覽器預設值首頁會被強行修改且我的最愛中也會被增加大量有害網站的連接，此外還會導致電腦執行變慢，更嚴重的是，點擊滑鼠右鍵時會造成Windows非法操作並可能導致系統崩潰。病毒之所以能利用MP3搜尋引擎傳播，是由於國內的MP3搜尋引擎不對索引到的音瀕文件做合法性判定，只要黑客把木馬或病毒偽裝成MP3文件，就可以被搜尋引擎加入資料庫，這樣用戶下載該「MP3文件」時，就不知不覺地被病毒侵入了。其實這種病毒偽裝方式，並非第一次出現，在這以前，不少病毒就以「色情圖片」的方式在進行傳播。而在去年，已經發現了將自己偽裝成MP3音樂文件的OSX平台上的特洛伊木馬病毒。

　　十一月的肖邦送病毒

　　去年11月2日，在周傑倫發怖最新專輯《十一月的肖邦》的第二天，就有線人發現在張靚穎的官方網站上發怖了一個帶有木馬的MP3文件，該檔案就是周傑倫最新專輯中的歌曲。據監測，該攻擊一直在擴大規模，目前至少已經有三個論壇上出現了含有同類內容的病毒帖子。

　　反病毒專家說，從技術上來看這類手法非常普通，黑客把周傑倫《11月的肖邦》的Demo版音樂和「灰鴿子」病毒壓縮排同一個文件裡，然後在論壇、聊天室裡發怖這個文件的位址，當用戶下載並執行後，就會造成自己的電腦中毒。

　　反病毒專家還分析，由於「涼粉(張靚穎的歌迷)」們有很多同時喜歡聽周傑倫的歌，並且《十一月的肖邦》剛剛發怖，對於歌迷具有很強的吸引力，估計此類病毒攻擊可能對用戶造成很大的影響。

　　了「灰鴿子」後的電腦可被黑客進行遠端控制。但由於此病毒不會造成明顯的機器執行異常，因此，很多表面上看起來「健康」的電腦可能已經中毒。

　　如何防範音樂病毒

　　專家提醒廣大用戶，演藝明星、社會熱點事件等，近期已經成為病毒和黑客攻擊的熱點，用戶應該採取以下措施防範:第一，安裝殺毒軟體並及時昇級，殺毒軟體需要每日昇級，用戶應該盡量昇級到最新版本;第二，上網玩遊戲、用網路銀行的時候，開啟個人防火牆;第三，上網時開啟殺毒軟體的「既時監控」功能。

　　其實這類病毒的手段並不很「高超」，要防範這類病毒，除了一般方法，比如安裝殺毒軟體並注意及時昇級;上網時候開啟防火牆的既時監控功能;從網上下載遊戲、軟體、電影、音樂等文件後應對其進行病毒掃瞄等外。其實還有一個比較簡單的預防方法就是:在「資料夾選項中」去掉「隱藏已知檔案類型的副檔名」的選項，這樣下載的帶多重副檔名的文件，就會顯示出完整的檔案名，一旦我們發現下載文件的檔案名為:「病毒.MP3.EXE」或「病毒.JPG.EXE」這類形式，就基本可以確定其為病毒文件，應立即加以移除。而一旦不幸感染了這類病毒，處理的方法除了使用最新版殺毒軟體查殺、上網在線查殺外，還可以通過手動式方法加以「清剿」。
　另外現在還有不少病毒或木馬偽裝成WinRAR自解壓文件，一不小心也非常容易中招，

　　那麼該怎樣識別用WinRAR元件服務過的木馬呢?只要能發現自解壓縮文件裡面隱藏有多個文件，特別是多個可執行文件，就可以判定其中含有木馬!因此對網上下載的自解壓程序不要直接執行，而是選項右鍵表單中的「用WinRAR開啟」，這樣你就能發現該檔案中到底有什麼了。

[psac]

修改權限防止病毒或木馬等破壞您的系統

winxp、windows2003以上版本適合本方法
因為目前的木馬抑或是病毒都喜歡駐停留在system32目錄下,如果我們用指令限制system32的寫入和修改權限的話
那麼,它們就沒有辦法寫在裡面了.看指令
cacls C:windowssystem32 /G administrator:R 禁止修改、寫入C:windows\system32目錄
cacls C:windowssystem32 /G administrator:F 恢復修改、寫入C:windows\system32目錄

哈哈，這樣病毒等就進不去了，如果你覺得這個還不夠安全，
還可以進行修改覺得其他危險目錄,比如直接修改C碟的權限，但修改c修改、寫入後，安裝軟體時需先把權限恢復過來才行
指令如下：
cacls C: /G administrator:R 禁止修改、寫入C碟
cacls C: /G administrator:F 恢復修改、寫入C碟

這個方法防止病毒寫任何東西，嘿嘿~~~
如果您覺得一些病毒防火牆消耗記憶體太大的話
此方法稍可解決一點希望大家喜歡這個方法6
還有些人還認為不放心的話可以用以下指令：
cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止網路用戶、本機用戶在指令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢復網路用戶、本機用戶在指令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止網路用戶、本機用戶在指令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢復網路用戶、本機用戶在指令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止網路用戶、本機用戶在指令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢復網路用戶、本機用戶在指令行和gui下使用tftp32.exe
不過根據版本的不同，請自行修改參數~~~

[psac]

病毒木馬的基本防禦和解決

關於病毒木馬網上的資料實在是太多，怎麼說都很難說是自己原創的文章，所以在此說明，凡是網上已經很詳細的資料就不再多寫了，主要是說明一個思法。是很簡單的東西。
說明：
1．這篇文章說的是不用任何工具的簡單的對病毒木馬的防禦和解決．
2．解決的也是簡單的木馬病毒，中了複雜的病毒木馬乾脆重裝。
3．針對的是Windows XP 專業版本系統。
4．關於網上已經很詳細的一些方法，不再做過多闡述。可自己搜尋。

一．基本防禦思想：制作備份勝於補救。

1．制作備份，裝好機器之後，首先制作備份c碟（系統碟）windows裡面，和C:\WINDOWS\system32下的文件目錄。
執行,cmd指令如下；
dir/a C:\WINDOWS\system32 >c:\1．txt
dir/a c:\windows >c:\2．txt
這樣就制作備份了windows和system32下面的文件列表，如果有一天覺得電腦有問題，同樣指令列出文件，然後cmd下面，fc指令比較一下，格式為，假如你出問題那一天system32列表為3．txt，那麼fc 1．txt 3．txt >c:/4．txt
(說明: dir/a是為了察看隱藏文件，制作備份位置放在c根目錄是為了好找)
因為木馬病毒大多要使用動態連接程式庫，可以對system32進行更詳細的列表制作備份，如下
cd C:\WINDOWS\system32
dir/a >c:\1．txt
dir/a *．dll >c:\>2．txt
dir/a *．exe >c:\>3．txt
然後把這些制作備份儲存在一個地方，除了問題對比一下列表便於察看多出了哪些DLL或者EXE文件，雖然有一些是安裝軟體的時候產生的，並不是病毒木馬，但是還是可以提共很好的參考的。

2．制作備份工作中的DLL, CMD下面指令
tasklist/m >c:/dll．txt
這樣正在執行的工作的DLL列表就會出現在c根目錄下面。以後可以對照一下，比較方法如上不多說，對於DLL木馬，一個一個檢查DLL太麻煩了。直接比較方便一些。
3．制作備份註冊表，
執行REGEDIT，文件——匯出——全部，然後隨便找一個地方儲存。
4．制作備份C碟，（硬碟大的朋友使用）
開始選單，所有程式，附件，系統工具，制作備份，然後按這說明下一步，選項我自己選項制作備份的內容，然後把系統制作備份在一個你選定的位置。
出了問題，同樣開啟，選項還原，然後找到你的制作備份，還原過去就是了。
（這個方法比系統還原好用，而且放心，只制作備份才安裝時候的系統就好，是最終解決方案。）

二，基本防禦思想，防病勝於治病。

1．關閉共享，這個網上說得很多，可以自己搜尋，不再詳細說明。關閉139．445連接阜，終止xp預設值共享。
2．關閉服務server,telnet, Task Scheduler, Remote Registry這四個。防止一般小黑客常用的at指令等等。其他的服務可以搜尋相關資料自己看著辦。（注意關閉以後定時殺毒定時昇級之類的計劃工作就不能執行了。）
3．控制台，系統管理工具，本機安全原則，安全原則，本機原則，安全性選項給管理員和guest用戶從新命名，最好是起一個中文名字的，如果修改了管理員的預設值空指令更好。不過一般改一個名字對於一般遊戲心態的黑客就足夠了對付了。高手一般不對個人電腦感興趣。
4．網路連接內容裡面除了tcp/ip傳輸協定全部其他的全部停用，或者乾脆卸載。
5．關閉遠端連接，桌面，我的電腦，內容，遠端，裡面取消就是了。也可以關閉Terminal Services服務，不過關閉了以後，工作管理器中就看不到用戶名字了。
三，基本解決方法，工作服務註冊表。
1． 首先應該對工作服務註冊表有一個簡單的瞭解，大約需要3個小時看看網上的相關知識應該就會懂得了。
2．檢查啟動項目，不建議使用執行msconfig指令，而要好好察看註冊表的run項目，和文件關聯，還有userinit,還有shell後面的explorer．exe是不是被改動。相關的不在多說，網上資料很多，有詳盡的啟動項目相關的文章。我只是說出思法。以下列出簡單的35個一般的啟動關聯項目:
1． HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\Curr entVersion\Run\
2． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
3． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\．
4． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
5． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
6． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
7． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
8． HKEY_USERS\．Default\Software\Microsoft\Windows\CurrentVersion\Run\
9． HKEY_USERS\．Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
10． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
11． HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\
12． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\
13． HKEY_CURRENT_USER\Control Panel\Desktop
14． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager
15． HKEY_CLASSES_ROOT\vbsfile\shell\open\command\
16． HKEY_CLASSES_ROOT\vbefile\shell\open\command\
17． HKEY_CLASSES_ROOT\jsfile\shell\open\command\
18． HKEY_CLASSES_ROOT\jsefile\shell\open\command\
19． HKEY_CLASSES_ROOT\wshfile\shell\open\command\
20． HKEY_CLASSES_ROOT\wsffile\shell\open\command\
21． HKEY_CLASSES_ROOT\exefile\shell\open\command\
22． HKEY_CLASSES_ROOT\comfile\shell\open\command\
23． HKEY_CLASSES_ROOT\batfile\shell\open\command\
24． HKEY_CLASSES_ROOT\scrfile\shell\open\command\
25． HKEY_CLASSES_ROOT\piffile\shell\open\command\
26． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
27． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\
28． HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline
29． HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline
30． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
31． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\
32． HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
33． HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
34． HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\
35． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\
（凡是木馬，必須要啟動，所以這些簡單的啟動項目還是應該好好看一下的。）
3．檢查服務，說一個簡單的，執行msconfig，服務，把「隱藏所有的microsoft服務」選，然後就看到了不是系統原有的的服務，要看清楚啊，最後在服務裡面找找看看內容，看看關聯的文件。現在一般殺毒都要增加服務，我其實討厭殺毒增加服務，不過好像是為了反病毒。
4．工作，這個網上資料更多，只說明兩點，1．開啟工作管理器，在「檢視」，「選項列」中把「pid」選，這樣可以看到pid，所謂pid簡單理解為就是工作的身份證，這樣便於很多相關的處理。2．點一個工作的時候右鍵有一個選項，「開啟所在目錄」，這個很明顯的，但是很多人都忽略了，這個可以看到工作文件所在的資料夾，便於診斷。
5．cmd下會使用，netstat –ano指令，覺得這一個指令對於簡單的使用就可以了，可以檢視傳輸協定連接阜連接和遠端ip．
6．移除註冊表｛F935DC22-1CF0-11D0-ADB9-00C04FD58A0B｝
{0D43FE01-F093-11CF-8940-00A0C9054228}
兩個項目，搜尋到以後你會看到是兩個和指令碼相關的，制作備份以後移除，主要是防止一下網上的惡意程式碼
（如果對指令碼感興趣，自己準備教學相關知識並且測試的朋友不要移除）
四，舉一個簡單的清除例子。
1．對象是包含在一個流行BT綠色軟體裡面的木馬，殺毒可以殺出，但是錯誤判斷為灰鴿子。有的殺毒殺不出來。以下說的是不用任何工具的判斷和清除，當然任何工具中包括殺毒。
2．中毒判斷：使用時候，忽然硬碟燈無故猛烈閃爍。系統有短暫速度變慢。有程序不正常的反映，懷疑有問題。
2．檢查，服務發現多了一個不明服務，文件指向C:\Program Files\Internet Explorer下面的server．exe文件，明顯的這不是系統原有的的文件，指令行下察看連接阜，有一個平常沒有得連接阜連接。工作發現不明工作。啟動項目增加server．exe．確定是木馬。
4．清除：開啟註冊表，關閉工作，移除啟動項目，註冊表搜尋相關服務名字，移除，移除源文件。同時檢查temp資料夾，發現有一個新的資料夾，裡面有一個「免殺．exe」文件，移除，清理快取。當然最好是安全模式下進行。
5．對照原來制作備份的system32下面的dll列表，發現可疑dll文件，移除，也可以在檢視選項「選項詳細資料」選項上「新增日期」（這個系統預設值是沒有增加的），然後檢視詳細資料，按新增日期顯示，可以發現新新增的文件。這個木馬比較簡單，沒有修改文件日期。
（這是一個簡單的病毒，時間長了，記不住具體病毒開啟的服務的名字和開啟的連接阜了，只是說明一下思法。提醒的就是一定不要忘記了清理快取，因為很多文件安裝或者下載的時候是存在那裡的，有時候忘記了清理，病毒如果關聯在這個文件上，移除後還會出現的。）



特絡伊木馬如何利用文件關聯和設定名ZT

木馬對文件關聯的利用
　　我們知道，在註冊表HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersionRun下可以載入程序，使之開機時自動執行，類似「Run」這樣的子鍵在註冊表中還有幾處，均以「Run」開頭，如RunOnce、RunServices等。除了這種方法，還有一種修改註冊表的方法也可以使程序自啟動。

　　具體說來，就是更改文件的開啟方式，這樣就可以使程序跟隨您開啟的那種檔案類型一起啟動。舉例來說，開啟註冊表，展開註冊表到HKEY_CLASSES_ROOTexefileshell opencommand，這裡是exe文件的開啟方式，預設值鍵值為：「%1」%*。如果把預設值鍵值改為Trojan.exe「%1」%*，您每次執行exe文件，這個Trojan.exe文件就會被執行。木馬灰鴿子就採用關聯exe文件的開啟方式，而大名鼎鼎的木馬冰河採用的是也與此相似的一招——關聯txt文件。

　　對付這種隱藏方法，主要是經常檢查註冊表，看文件的開啟方式是否發生了變化。如果發生了變化，就將開啟方式改回來。最好能經常制作備份註冊表，發現問題後立即用備份檔案恢復註冊表，既方便、快捷，又安全、省事。

　　木馬對設備名的利用

　　大家知道，在Windows下無法以設備名來命名文件或資料夾，這些設備名主要有aux、com1、com2、prn、con、nul等，但Windows 2000/XP有個漏洞可以以設備名來命名文件或資料夾，讓木馬可以躲在那裡而不被發現。

　　具體方法是：點擊「開始」表單的「執行」，輸入cmd.exe，Enter鍵進入命令提示字元視窗，然後輸入md c:con\指令，可以建立一個名為con的目錄。預設值請況下，Windows是無法建立這類目錄的，正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux\指令，可以建立aux目錄，輸入md crn\可以建立prn目錄，輸入md c:com1\目錄可以建立Com1目錄，而輸入md c: nul\則可以建立一個名為nul的目錄。在檔案總管中依次點擊試試，您會發現當我們試圖開啟以aux或com1命名的資料夾時，explorer.exe失去了回應，而許多「牧馬人」就是利用這個方法將木馬隱藏在這類特殊的資料夾中，從而達到隱藏、保護木馬程序的目的。

　　現在，我們可以把文件複製到這個特殊的目錄下，當然，不能直接在Windows中複製，需要採用特殊的方法，在CMD視窗中輸入copy muma.exe \.c:aux\指令，就可以把木馬文件muma.exe複製到C碟下的aux資料夾中，然後點擊「開始」表單中的「執行」，在「執行」中輸入c:aux muam.exe，就會成功啟動該木馬。我們可以通過點擊資料夾名進入此類特殊目錄，不過，如果您要試圖在檔案總管中移除它，會發現這根本就是徒勞的，Windows會提示找不到該檔案。

　　由於使用del c:aux\指令可以移除其中的muma.exe文件，所以，為了達到更好的隱藏和保護效果，下木馬者會把muma.exe文件也改名，讓我們很難移除。具體方法就是在複製木馬文件到aux資料夾時使用指令copy muma.exe \.c:con.exe，就可以把木馬文件muma.exe複製到aux目錄中，並且改名為con.exe，而con.exe文件是無法用普通方法移除的。

　　可能有的朋友會想，這個con.exe文件在「開始」表單的「執行」中無法執行啊。其實不然，只要在指令行方式下輸入cmd /c \.c:con就可以執行這個程序了。在執行時會有一個cmd視窗一閃而過，下木馬者一般來說會對其進行改進，方法有很多，可以利用開機指令碼，也可以利用cmd.exe的autorun：在註冊表
HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun，值為要執行的.bat文件或.cmd文件的路徑，如c:winnt system32 auto.cmd，如果建立相應的文件，它的內容為@\.c:con，就可以達到隱蔽的效果。

　　對於這類特殊的資料夾，發現後我們可以採用如下方法來移除它：先用del \.c:con.exe指令移除con.exe文件（該檔案假設就是其中的木馬檔案名），然後再用rd \.c:aux指令移除aux資料夾即可。

　　木馬對AutoRun的利用

　　AutoRun不僅能套用於光碟中，同樣也可以套用於硬碟中（要注意的是，AutoRun.inf必須存放在磁牒根目錄下才能起作用）。讓我們一起看看AutoRun.inf文件的內容吧。

　　開啟記事本，新增一個文件，將其命名為AutoRun.inf，在AutoRun.inf中按鍵輸入以下內容：

[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=Crogram FilesACDSeeACDSee.exe

　　其中，「[AutoRun]」是必須的固定格式，一個標準的AutoRun文件必須以它開頭，目的是告訴系統執行它下面幾行的指令；第二行「Icon=C:WindowsSystemShell32.DLL,21」是給硬碟或光碟設定一個個性化的圖示，「Shell32.DLL」是包含很多Windows圖示的系統檔案，「21」表示顯示編號為21的圖示，無數位則預設值採用文件中的第一個圖示；第三行「Open=Crogram FilesACDSeeACDSee.exe」指出要執行程序的路徑及其檔案名。

　　如果把Open行換為木馬文件，並將這個AutoRun.inf文件設定為隱藏內容，我們點擊硬碟時就會啟動木馬。

　　為防止遭到這樣的「埋伏」，可以禁止硬碟AutoRun功能。在「開始」表單的「執行」中輸入Regedit，開啟註冊表編輯器，展開到HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Exploer主鍵下，在右側視窗中找到「NoDriveTypeAutoRun」，就是它決定了是否執行CDROM或硬碟的AutoRun功能。將其鍵值改為9D,00,00,00就可以關閉硬碟的AutoRun功能，如果改為B5,00,00,00則禁止光碟的AutoRun功能。修改後重新啟動電腦，設定就會生效。

[psac]

假Google下載網站現身，內藏木馬

據國外媒體報導，安全公司Surfcontrol表示，別有用心者已新增了與Google工作列(Toolbar)插件下載頁面完全一樣的虛假網頁，上面提供的下載內容中包含了木馬病毒。

　　Surfcontrol稱，針對IE瀏覽器用戶，上述欺詐手法甚至使用了Google重新轉發IP服務以隱藏網頁的真實位址。該網頁上的下載內容包含了W32.Ranky.FW木馬病毒，用戶機器受到感染後將變成"殭屍(Zombie)"電腦，並通過傳統電子郵件內含連接方式來傳播。Surfcontrol還表示，已發現的虛假Google網站存在技術缺陷，因此還不具備攻擊能力，但它卻提供了如何使用誘導性手段發起攻擊的基本觀念。

　　Surfcontrol稱，該虛假網站使用了多種誘騙方式，它不但複製了與Google頁面完全一樣的網頁，而且使用了讓人誤以為是真實的位址。此外看起來是來自Google的電子郵件，無疑又會讓用戶放鬆警惕而點擊內含連接，且機器受到感染後用戶也不會發現任何明顯症狀。去年9月，Google搜尋頁面也遭到了惡意複製，目的是傳播一種蠕蟲病毒。前不久，一種木馬病毒還攻擊了Google的Adsense廣告，並把它們取代為偽造內容。